Симптомы такие, отрубает сеть (не могу пинговать другие компы из сетки). Логи прилагаются
Симптомы такие, отрубает сеть (не могу пинговать другие компы из сетки). Логи прилагаются
Лог Hijackthis приложите, плиз.
Выполнить скрипт:
Прислать карантин, сделать все новые логи.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('c:\winnt\system32\mrcmgr.exe',''); TerminateProcessByName('c:\winnt\system32\mrcmgr.exe'); QuarantineFile('C:\WINNT\system32\ADMDLL.dll',''); QuarantineFile('C:\WINNT\system32\basejlx32.dll',''); QuarantineFile('C:\DOCUME~1\user1c\LOCALS~1\Temp\csrss.exe',''); QuarantineFile('C:\WINNT\system32\hmlphl.dll',''); QuarantineFile('C:\WINNT\system32\ddr7xm.dll',''); DelBHO('{AAD1C6AD-10AB-4cae-97FB-0AADDEC8A14B}'); DelBHO('{1A4F919F-4334-4abf-BF47-0836A8B5A54B}'); DeleteFile('C:\WINNT\system32\ddr7xm.dll'); DeleteFile('C:\WINNT\system32\hmlphl.dll'); DeleteFile('C:\DOCUME~1\user1c\LOCALS~1\Temp\csrss.exe'); DeleteFile('C:\WINNT\system32\basejlx32.dll'); DeleteFile('c:\winnt\system32\mrcmgr.exe'); QuarantineFile('C:\WINNT\system32\ddr7xm.bak',''); QuarantineFile('C:\WINNT\system32\hmlphl.dll',''); QuarantineFile('C:\WINNT\system32\ddr7xm.dll',''); QuarantineFile('C:\DOCUME~1\user1c\LOCALS~1\Temp\csrss.exe',''); DeleteFile('C:\DOCUME~1\user1c\LOCALS~1\Temp\csrss.exe'); DeleteFile('C:\WINNT\system32\3n5nxtoe.tmp'); DeleteFile('C:\WINNT\system32\3vt4f1x7.tmp'); DeleteFile('C:\WINNT\system32\42denzyz.tmp'); DeleteFile('C:\WINNT\system32\4zy1hmoi.tmp'); DeleteFile('C:\WINNT\system32\c7qakaqf.tmp'); DeleteFile('C:\WINNT\system32\cdvxrmbv.tmp'); DeleteFile('C:\WINNT\system32\ddr7xm.bak'); DeleteFile('C:\WINNT\system32\f72tu1bt.tmp'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Последний раз редактировалось PavelA; 06.06.2008 в 15:08. Причина: Добавил еще THK Rene-gad
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Сори, забыл лог хайджека
новые логи
IE обновить надо
ПофикситеКод:MSIE: Internet Explorer v5.00 SP4 (5.00.2920.0000)
Выполните скриптКод:F2 - REG:system.ini: UserInit=C:\WINNT\system32\userinit.exe,C:\WINNT\system32\mrcmgr.exe, O2 - BHO: MddApp Class - {1A4F919F-4334-4abf-BF47-0836A8B5A54B} - C:\WINNT\system32\ddr7xm.dll (file missing) O2 - BHO: BhoApp Class - {AAD1C6AD-10AB-4cae-97FB-0AADDEC8A14B} - C:\WINNT\system32\hmlphl.dll O4 - HKLM\..\Policies\Explorer\Run: [1] C:\WINNT\system32\mrcmgr.exe
Прислать карантин, сделать все новые логи.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DelBHO('{AAD1C6AD-10AB-4cae-97FB-0AADDEC8A14B}'); DelBHO('{1A4F919F-4334-4abf-BF47-0836A8B5A54B}'); TerminateProcessByName('c:\winnt\system32\mrcmgr.exe'); QuarantineFile('C:\WINNT\system32\ADMDLL.dll',''); QuarantineFile('C:\WINNT\system32\basejlx32.dll',''); QuarantineFile('C:\WINNT\system32\mrcmgr.exe',''); QuarantineFile('C:\WINNT\system32\ddr7xm.dll',''); QuarantineFile('C:\WINNT\system32\hmlphl.dll',''); QuarantineFile('c:\winnt\system32\ddr7xm.dll',''); DeleteFile('c:\winnt\system32\ddr7xm.dll'); DeleteFile('C:\WINNT\system32\hmlphl.dll'); DeleteFile('C:\WINNT\system32\ddr7xm.dll'); DeleteFile('C:\WINNT\system32\mrcmgr.exe'); DeleteFile('C:\WINNT\system32\basejlx32.dll'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Последний раз редактировалось Rene-gad; 06.06.2008 в 16:49.
Небольшая поправочка... На машине стоит RAdmin Admdll.dll это его библиотека. Прогу ставил я, стоит на всех машинах в сети. Можно ли его не удалять?
вот такой наборчик:
access[1].htm - not-a-virus: Porn-Dialer.Win32.GBDialer.j
basejlx32.dll - Trojan.Win32.SubSys.dr,
hmlphl.dll - Backdoor.Win32.H3.a
ddr7xm.dll - not-a-virus:AdWare.Win32.BHO.bco
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Последний раз редактировалось Rene-gad; 06.06.2008 в 16:50. Причина: Добавлено
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 13
- В ходе лечения обнаружены вредоносные программы:
- c:\\winnt\\system32\\basejlx32.dll - Trojan.Win32.SubSys.dr (DrWEB: Trojan.Okuks.based)
- c:\\winnt\\system32\\cdvxrmbv.tmp - not-a-virus:AdWare.Win32.BHO.bco (DrWEB: BackDoor.Bho.6)
- c:\\winnt\\system32\\c7qakaqf.tmp - not-a-virus:AdWare.Win32.BHO.bco (DrWEB: BackDoor.Bho.6)
- c:\\winnt\\system32\\ddr7xm.bak - not-a-virus:AdWare.Win32.BHO.bco (DrWEB: BackDoor.Bho.6)
- c:\\winnt\\system32\\ddr7xm.dll - not-a-virus:AdWare.Win32.BHO.bco (DrWEB: BackDoor.Bho.6)
- c:\\winnt\\system32\\f72tu1bt.tmp - not-a-virus:AdWare.Win32.BHO.bco (DrWEB: BackDoor.Bho.6)
- c:\\winnt\\system32\\hmlphl.dll - Backdoor.Win32.H3.a (DrWEB: Trojan.PWS.GoldSpy.2173)
- c:\\winnt\\system32\\ssjn61c2.tmp - not-a-virus:AdWare.Win32.BHO.bco (DrWEB: BackDoor.Bho.6)
- c:\\winnt\\system32\\3n5nxtoe.tmp - not-a-virus:AdWare.Win32.BHO.bco (DrWEB: BackDoor.Bho.6)
- c:\\winnt\\system32\\3vt4f1x7.tmp - not-a-virus:AdWare.Win32.BHO.bco (DrWEB: BackDoor.Bho.6)
- c:\\winnt\\system32\\4zy1hmoi.tmp - not-a-virus:AdWare.Win32.BHO.bco (DrWEB: BackDoor.Bho.6)
- c:\\winnt\\system32\\42denzyz.tmp - not-a-virus:AdWare.Win32.BHO.bco (DrWEB: BackDoor.Bho.6)
- d:\\documents and settings\\администратор\\local settings\\temporary internet files\\content.ie5\\g5uj89an\\access[1].htm - not-a-virusorn-Dialer.Win32.GBDialer.j (DrWEB: Dialer.Maxd)
Уважаемый(ая) Bibigon, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.