При загрузке комп. пытается подключить инет, начинает что-то качать, а потом перезагружается.
Выполняя Ваши правила, получил следующий результат. Что делать? Помогите.
При загрузке комп. пытается подключить инет, начинает что-то качать, а потом перезагружается.
Выполняя Ваши правила, получил следующий результат. Что делать? Помогите.
пофиксите ...
выполните крипт...Код:O4 - HKLM\..\Run: [WindowsHive] C:\WINDOWS\system32\rpcc.exe O4 - HKLM\..\Run: [runner1] C:\WINDOWS\retadpu27.exe 61A847B5BBF72810358B2B27128065E9C084320161C4661227A755E9C2933154389A O4 - HKCU\..\Run: [System] C:\WINDOWS\csrss.exe O4 - HKCU\..\Run: [Firewall auto setup] C:\DOCUME~1\ВИКТОР\LOCALS~1\Temp\winlogon.exe O4 - HKCU\..\Run: [Service Pack 1] C:\WINDOWS\system32\vedxg6ame4.exe O16 - DPF: {33331111-1111-1111-1111-611111193457} - file://c:\ex.cab O16 - DPF: {33331111-1111-1111-1111-611111193458} - file://c:\ex.cab O16 - DPF: {33331111-1111-1111-1111-622221193458} - file://c:\ex.cab O16 - DPF: {64311111-1111-1121-1111-111191113457} - file://c:\eied_s7.cab O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34545} - C:\WINDOWS\System32\vbsys2.dll (file missing) O21 - SSODL: Windows Update - {459FA2B2-E4C2-13D4-CA84-03501F45B839} - C:\WINDOWS\System32\oobe\csrss.exe (file missing)
пришлите карантин согласно приложения 3 правил...Код:begin SearchRootkit(true, true); SetAVZGuardStatus(true); QuarantineFile('C:\WINDOWS\system32\drivers\symavc32.sys ',''); QuarantineFile('c:\Recycled\userinit.exe',''); QuarantineFile('c:\windows\system32\tcpsvcs.exe',''); QuarantineFile('C:\WINDOWS\system32\adtool.dll',''); QuarantineFile('C:\WINDOWS\system32\vedxg6ame4.exe',''); QuarantineFile('C:\WINDOWS\system32\rpcc.exe',''); QuarantineFile('C:\WINDOWS\System32\vbsys2.dll',''); QuarantineFile('C:\WINDOWS\csrss.exe',''); QuarantineFile('\SystemRoot\System32\drivers\protect.sys',''); QuarantineFile('\SystemRoot\System32\DRIVERS\tcpip.sys',''); QuarantineFile('\SystemRoot\SYSTEM32\spooldr.sys',''); QuarantineFile('C:\WINDOWS\system32\msdvdr.pif',''); QuarantineFile('C:\WINDOWS\spooldr.exe',''); QuarantineFile('C:\WINDOWS\retadpu27.exe',''); QuarantineFile('C:\WINDOWS\perfmon.exe',''); QuarantineFile('C:\Program Files\Microsoft ActiveSync\rapiproxystub.dll',''); QuarantineFile('c:\program files\winable\winable.exe',''); QuarantineFile('c:\docume~1\ВИКТОР\locals~1\temp\winlogon.exe',''); DeleteFile('c:\windows\system32\msdvdr.pif'); DeleteFile('c:\windows\perfmon.exe'); DeleteFile('c:\windows\spooldr.exe'); DeleteFile('c:\windows\retadpu27.exe'); DeleteFile('c:\docume~1\ВИКТОР\locals~1\temp\winlogon.exe'); DeleteFile('\SystemRoot\SYSTEM32\spooldr.sys'); DeleteFile('\SystemRoot\System32\drivers\protect.sys'); DeleteFile('C:\WINDOWS\csrss.exe'); DeleteFile('C:\WINDOWS\System32\vbsys2.dll'); DeleteFile('C:\WINDOWS\system32\rpcc.exe'); DeleteFile('C:\WINDOWS\system32\vedxg6ame4.exe'); DeleteFile('C:\WINDOWS\system32\adtool.dll'); BC_ImportAll; BC_Activate; ExecuteSysClean; RebootWindows(true); end.
повторите логи...
Не нашелКод:O4 - HKLM\..\Run: [runner1] C:\WINDOWS\retadpu27.exe 61A847B5BBF72810358B2B27128065E9C084320161C4661227A755E9C2933154389A
А после того так пофиксил, перестал запускаться AVZ.
Что делать??
скачать avz заново и переименовать исполняемый файл avz.exe в lol.com
*Нажми и выполни, если хочешь чтобы помощь улучшилась и ускорилась
*MyFirefox Portable
special avz @ rapidshare.com
md5: 2091925798B7909E010E3F7E328C5F0D
Манипуляции с avz помогли. Выслал карантин.
При повторении логов п.8 Правил через 4-6 секунд появляется "синий экран смерти"...
Помогите.
Пробуйте в безопасном режиме сделать логи и ещё один :http://virusinfo.info/showthread.php?t=10387
*Нажми и выполни, если хочешь чтобы помощь улучшилась и ускорилась
*MyFirefox Portable
special avz @ rapidshare.com
md5: 2091925798B7909E010E3F7E328C5F0D
Все сделал. Высылаю логи.
1.Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )2.Загрузиться в сейфмод, зайти в панель управления и удалить mywebsearch.Код:O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - (no file) O2 - BHO: HtmlView Helper - {E496675D-472B-4A82-A4F7-2EBBE5DA6754} - C:\WINDOWS\system32\adtool.dll (file missing) O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O16 - DPF: {11111111-1111-1111-1111-222222222222} - ms-its:mhtml:file://d:\foo.mht!http://www.z32803.infobox.ru//style.css::/open.exe O16 - DPF: {11260943-421B-11D0-8EAC-0000C07D88CF} (iPIX ActiveX Control) - http://www.ipix-i.com/download/ipixx.cab O20 - Winlogon Notify: reset5 - C:\WINDOWS\SYSTEM32\reset5.dll O21 - SSODL: Battery Monitor - {459352B2-D4CE-13D4-2D78-03501003EF20} - shlapiw32.dll (file missing)
3.в сейфмод :выполните cкрипт...
4.Попробуйте в нормальном режиме сделать логиКод:begin QuarantineFile('c:\Recycled\userinit.exe',''); QuarantineFile('C:\WINDOWS\system32\msdvdr.sys',''); DeleteFile('c:\Recycled\userinit.exe'); DeleteFile('C:\WINDOWS\system32\msdvdr.sys'); DeleteFile('C:\WINDOWS\system32\drivers\symavc32.sys'); DeleteFile('C:\WINDOWS\system32\drivers\Phkf39.sys'); BC_ImportAll; ExecuteSysClean; BC_Activate; ExecuteRepair(6); ExecuteRepair(9); ExecuteRepair(12); ExecuteRepair(16); RebootWindows(true); end.
5.PAVWAIT.DLL- найти через AVZ и прислать по второму пункту правил
Последний раз редактировалось drongo; 14.09.2007 в 20:12.
*Нажми и выполни, если хочешь чтобы помощь улучшилась и ускорилась
*MyFirefox Portable
special avz @ rapidshare.com
md5: 2091925798B7909E010E3F7E328C5F0D
Не понял, как его удалить? Из установки и уделения програм?? Подскажите.удалить mywebsearch
да, из установки и удаления программ... зачем вам этот набор адварей
Высылаю логи и протокол поиска PAVWAIT.DLL.
Кажется с ним глухо.
1. Выполните скрипт в AVZ:
2. Искать PAVWAIT.DLL в AVZ надо через "Сервис" - "Поиск файлов на диске". Если не найдется, попробуйте вначале выполнить стандартный скрипт #1. В случае успеха добавьте его в карантин.Код:begin ClearQuarantine; QuarantineFile('c:\Recycled\userinit.exe',''); DeleteFile('C:\Documents and Settings\Виктор\Local Settings\Temporary Internet Files\Content.IE5\4TAZ8PUN\windin2[1].exe'); DeleteFile('C:\Documents and Settings\Виктор\Local Settings\Temp\2.tmp'); DeleteFile('C:\Documents and Settings\Виктор\Local Settings\Temp\18.tmp'); DeleteFile('C:\Documents and Settings\Виктор\Local Settings\Temp\3.tmp'); DeleteFile('c:\Recycled\userinit.exe'); BC_ImportALL; ExecuteSysClean; ExecuteRepair(6); ExecuteRepair(11); BC_Activate; RebootWindows(true); end.
3. Пришлите карантин по правилам.
Добавлено через 3 минуты
4. В AVZ зайдите в Сервис - Менеджер ActiveSetup и удалите там строчку с 'c:\Recycled\userinit.exe'
Последний раз редактировалось Bratez; 15.09.2007 в 15:55. Причина: Добавлено
I am not young enough to know everything...
Все сделал как говорили, только PAVWAIT.DLL найти так и не удалось. ((
Что дальше?
Сделайте новые логи.
I am not young enough to know everything...
Новые логи...
очистите корзину ...
что из этого используется ?
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
Корзину очистил.
А как узнать, что из этого используется??
Знаю, что есть автозапуск с CDROM. А вот с остальным... Вопрос
Это ведущий комп. к нему подключен ноутбук по локалке для использования СТРИМа. Ни какими планировщиками я не пользуюсь, удаленного помощника не приглашаю. Только из дома выхожу в инет.
Тогда вот так:
Код:begin RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0); SetServiceStart('RDSessMgr', 4); SetServiceStart('mnmsrvc', 4); SetServiceStart('Schedule', 4); SetServiceStart('SSDPSRV', 4); SetServiceStart('RemoteRegistry', 4); RebootWindows(true); end.
I am not young enough to know everything...
Уважаемый(ая) Victoribn, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.