Побило троянами

[Victoribn]

При загрузке комп. пытается подключить инет, начинает что-то качать, а потом перезагружается.
Выполняя Ваши правила, получил следующий результат. Что делать? Помогите.

[V_Bond]

пофиксите ...

Код:

O4 - HKLM\..\Run: [WindowsHive] C:\WINDOWS\system32\rpcc.exe
O4 - HKLM\..\Run: [runner1] C:\WINDOWS\retadpu27.exe 61A847B5BBF72810358B2B27128065E9C084320161C4661227A755E9C2933154389A
O4 - HKCU\..\Run: [System] C:\WINDOWS\csrss.exe
O4 - HKCU\..\Run: [Firewall auto setup] C:\DOCUME~1\ВИКТОР\LOCALS~1\Temp\winlogon.exe
O4 - HKCU\..\Run: [Service Pack 1] C:\WINDOWS\system32\vedxg6ame4.exe
O16 - DPF: {33331111-1111-1111-1111-611111193457} - file://c:\ex.cab
O16 - DPF: {33331111-1111-1111-1111-611111193458} - file://c:\ex.cab
O16 - DPF: {33331111-1111-1111-1111-622221193458} - file://c:\ex.cab
O16 - DPF: {64311111-1111-1121-1111-111191113457} - file://c:\eied_s7.cab
O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34545} - C:\WINDOWS\System32\vbsys2.dll (file missing)
O21 - SSODL: Windows Update - {459FA2B2-E4C2-13D4-CA84-03501F45B839} - C:\WINDOWS\System32\oobe\csrss.exe (file missing)

выполните крипт...

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 QuarantineFile('C:\WINDOWS\system32\drivers\symavc32.sys ','');
 QuarantineFile('c:\Recycled\userinit.exe','');
 QuarantineFile('c:\windows\system32\tcpsvcs.exe','');
 QuarantineFile('C:\WINDOWS\system32\adtool.dll','');
 QuarantineFile('C:\WINDOWS\system32\vedxg6ame4.exe','');
 QuarantineFile('C:\WINDOWS\system32\rpcc.exe','');
 QuarantineFile('C:\WINDOWS\System32\vbsys2.dll','');
 QuarantineFile('C:\WINDOWS\csrss.exe','');
 QuarantineFile('\SystemRoot\System32\drivers\protect.sys','');
 QuarantineFile('\SystemRoot\System32\DRIVERS\tcpip.sys','');
 QuarantineFile('\SystemRoot\SYSTEM32\spooldr.sys','');
 QuarantineFile('C:\WINDOWS\system32\msdvdr.pif','');
 QuarantineFile('C:\WINDOWS\spooldr.exe','');
 QuarantineFile('C:\WINDOWS\retadpu27.exe','');
 QuarantineFile('C:\WINDOWS\perfmon.exe','');
 QuarantineFile('C:\Program Files\Microsoft ActiveSync\rapiproxystub.dll','');
 QuarantineFile('c:\program files\winable\winable.exe','');
 QuarantineFile('c:\docume~1\ВИКТОР\locals~1\temp\winlogon.exe','');
 DeleteFile('c:\windows\system32\msdvdr.pif');
 DeleteFile('c:\windows\perfmon.exe');
 DeleteFile('c:\windows\spooldr.exe');
 DeleteFile('c:\windows\retadpu27.exe');
 DeleteFile('c:\docume~1\ВИКТОР\locals~1\temp\winlogon.exe');
 DeleteFile('\SystemRoot\SYSTEM32\spooldr.sys');
 DeleteFile('\SystemRoot\System32\drivers\protect.sys');
 DeleteFile('C:\WINDOWS\csrss.exe');
 DeleteFile('C:\WINDOWS\System32\vbsys2.dll');
 DeleteFile('C:\WINDOWS\system32\rpcc.exe');
 DeleteFile('C:\WINDOWS\system32\vedxg6ame4.exe');
 DeleteFile('C:\WINDOWS\system32\adtool.dll');
 BC_ImportAll;
 BC_Activate;
 ExecuteSysClean;
 RebootWindows(true);
end.

пришлите карантин согласно приложения 3 правил...
повторите логи...

[Victoribn]

Код:

O4 - HKLM\..\Run: [runner1] C:\WINDOWS\retadpu27.exe 61A847B5BBF72810358B2B27128065E9C084320161C4661227A755E9C2933154389A

Не нашел
А после того так пофиксил, перестал запускаться AVZ.
Что делать??

[drongo]

скачать avz заново и переименовать исполняемый файл avz.exe в lol.com

[Victoribn]

Манипуляции с avz помогли. Выслал карантин.
При повторении логов п.8 Правил через 4-6 секунд появляется "синий экран смерти"...
Помогите.

[drongo]

Пробуйте в безопасном режиме сделать логи и ещё один :http://virusinfo.info/showthread.php?t=10387

[Victoribn]

Все сделал. Высылаю логи.

[drongo]

1.Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )

Код:

O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - (no file)
O2 - BHO: HtmlView Helper - {E496675D-472B-4A82-A4F7-2EBBE5DA6754} - C:\WINDOWS\system32\adtool.dll (file missing)
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O16 - DPF: {11111111-1111-1111-1111-222222222222} - ms-its:mhtml:file://d:\foo.mht!http://www.z32803.infobox.ru//style.css::/open.exe
O16 - DPF: {11260943-421B-11D0-8EAC-0000C07D88CF} (iPIX ActiveX Control) - http://www.ipix-i.com/download/ipixx.cab
O20 - Winlogon Notify: reset5 - C:\WINDOWS\SYSTEM32\reset5.dll
O21 - SSODL: Battery Monitor - {459352B2-D4CE-13D4-2D78-03501003EF20} - shlapiw32.dll (file missing)

2.Загрузиться в сейфмод, зайти в панель управления и удалить mywebsearch.
3.в сейфмод :выполните cкрипт...

Код:

begin
 QuarantineFile('c:\Recycled\userinit.exe','');
 QuarantineFile('C:\WINDOWS\system32\msdvdr.sys','');
 DeleteFile('c:\Recycled\userinit.exe');
 DeleteFile('C:\WINDOWS\system32\msdvdr.sys');
 DeleteFile('C:\WINDOWS\system32\drivers\symavc32.sys');
 DeleteFile('C:\WINDOWS\system32\drivers\Phkf39.sys');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(6);
ExecuteRepair(9);
ExecuteRepair(12);
ExecuteRepair(16);
RebootWindows(true);
end.

4.Попробуйте в нормальном режиме сделать логи
5.PAVWAIT.DLL- найти через AVZ и прислать по второму пункту правил

[Victoribn]

удалить mywebsearch

Не понял, как его удалить? Из установки и уделения програм?? Подскажите.

[V_Bond]

да, из установки и удаления программ... зачем вам этот набор адварей

[Victoribn]

Высылаю логи и протокол поиска PAVWAIT.DLL.
Кажется с ним глухо.

[Bratez]

1. Выполните скрипт в AVZ:

Код:

begin
 ClearQuarantine;
 QuarantineFile('c:\Recycled\userinit.exe','');
 DeleteFile('C:\Documents and Settings\Виктор\Local Settings\Temporary Internet Files\Content.IE5\4TAZ8PUN\windin2[1].exe');
 DeleteFile('C:\Documents and Settings\Виктор\Local Settings\Temp\2.tmp');
 DeleteFile('C:\Documents and Settings\Виктор\Local Settings\Temp\18.tmp');
 DeleteFile('C:\Documents and Settings\Виктор\Local Settings\Temp\3.tmp');
 DeleteFile('c:\Recycled\userinit.exe');
BC_ImportALL;
ExecuteSysClean;
ExecuteRepair(6);
ExecuteRepair(11);
BC_Activate;
RebootWindows(true);
end.

2. Искать PAVWAIT.DLL в AVZ надо через "Сервис" - "Поиск файлов на диске". Если не найдется, попробуйте вначале выполнить стандартный скрипт #1. В случае успеха добавьте его в карантин.

3. Пришлите карантин по правилам.

Добавлено через 3 минуты

4. В AVZ зайдите в Сервис - Менеджер ActiveSetup и удалите там строчку с 'c:\Recycled\userinit.exe'

[Victoribn]

Все сделал как говорили, только PAVWAIT.DLL найти так и не удалось. ((
Что дальше?

[Bratez]

Сделайте новые логи.

[Victoribn]

Новые логи...

[V_Bond]

очистите корзину ...
что из этого используется ?
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику

[Victoribn]

Корзину очистил.
А как узнать, что из этого используется??
Знаю, что есть автозапуск с CDROM. А вот с остальным... Вопрос

[V_Bond]

А как узнать, что из этого используется??

компьютер домашний или рабочий ? подключен к локальной сети?

[Victoribn]

Это ведущий комп. к нему подключен ноутбук по локалке для использования СТРИМа. Ни какими планировщиками я не пользуюсь, удаленного помощника не приглашаю. Только из дома выхожу в инет.

[Bratez]

Тогда вот так:

Код:

begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
SetServiceStart('RDSessMgr', 4);
SetServiceStart('mnmsrvc', 4);
SetServiceStart('Schedule', 4);
SetServiceStart('SSDPSRV', 4);
SetServiceStart('RemoteRegistry', 4);
RebootWindows(true);
end.