Добрый день. Прошу помощи. Все сделал-выкладываю логи. Жду ответа. Спасибо
Добрый день. Прошу помощи. Все сделал-выкладываю логи. Жду ответа. Спасибо
Последний раз редактировалось Shu_b; 26.10.2007 в 09:33.
Версия AVZ старая - раз. Карантин сюда закачивать не надо - два.
Исправляйтесь. После этого будем лечить.
просьба без обид.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
1. Обязательно скачайте свежую версию AVZ - 4.27 и обновите ее базы.
2. Пофиксите в HijackThis:
3. Выполните скрипт в AVZ:Код:F2 - REG:system.ini: Shell=Explorer.exe C:\WINXP\system32\printer.exe F2 - REG:system.ini: UserInit=C:\WINXP\system32\userinit.exe,C:\WINXP\system32\pdbcopy.exe, O2 - BHO: IEHlprObj Class - {ABCDECF0-4B15-11D1-ABED-709549C10000} - C:\WINXP\system32\vtr.dll (file missing) O4 - HKLM\..\Run: [System] C:\WINXP\system32\kernelwind32.exe O4 - HKLM\..\Run: [WinAVX] C:\WINXP\system32\WinAvXX.exe O4 - HKLM\..\Run: [Salestart] "C:\Program Files\Common Files\AVSystemCare\bm.exe" dm=http://avsystemcare.com; ad=http://avsystemcare.com O4 - HKCU\..\Run: [Firewall auto setup] C:\DOCUME~1\sergey\LOCALS~1\Temp\winlogon.exe O4 - HKCU\..\Run: [WinAVX] C:\WINXP\system32\WinAvXX.exe O4 - HKLM\..\Policies\Explorer\Run: [system] C:\WINXP\csrss.exe O4 - Startup: system.exe O4 - Global Startup: autorun.exe O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1 O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1 O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe (file missing) O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe (file missing) O20 - AppInit_DLLs: C:\WINXP\system32\sulimo.dat
4. Пришлите карантин согласно приложению 3 правил.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('c:\winxp\system32\svchost.exe:exe.exe:$DATA',''); QuarantineFile('c:\winxp\system32\svchost.exe:exe.exe',''); QuarantineFile('C:\WINXP\system32\sulimo.dat',''); QuarantineFile('C:\WINXP\system32\kernelwind32.exe',''); QuarantineFile('C:\WINXP\system32\WinAvXX.exe',''); QuarantineFile('C:\WINXP\csrss.exe',''); QuarantineFile('C:\Documents and Settings\sergey\Главное меню\Программы\Автозагрузка\system.exe',''); QuarantineFile('C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\autorun.exe',''); QuarantineFile('C:\DOCUME~1\sergey\LOCALS~1\Temp\winlogon.exe',''); QuarantineFile('C:\WINXP\System32\drivers\protect.sys',''); QuarantineFile('C:\WINXP\system32\DefLib.sys',''); QuarantineFile('c:\winxp\system32\printer.exe',''); DeleteFile('c:\winxp\system32\printer.exe'); DeleteFile('C:\WINXP\system32\DefLib.sys'); DeleteFile('C:\WINXP\System32\drivers\protect.sys'); DeleteFile('C:\DOCUME~1\sergey\LOCALS~1\Temp\winlogon.exe'); DeleteFile('C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\autorun.exe'); DeleteFile('C:\Documents and Settings\sergey\Главное меню\Программы\Автозагрузка\system.exe'); DeleteFile('C:\WINXP\csrss.exe'); DeleteFile('C:\WINXP\system32\WinAvXX.exe'); DeleteFile('C:\WINXP\system32\kernelwind32.exe'); DeleteFile('C:\WINXP\system32\sulimo.dat'); DeleteFile('c:\winxp\system32\svchost.exe:exe.exe:$DATA'); DeleteFile('c:\winxp\system32\svchost.exe:exe.exe'); BC_ImportALL; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
5. Сделайте новые логи.
I am not young enough to know everything...
Вирус не дает доступ к инету для обновлений... (((
Выполните первые 4 пункта кроме обновления.
Перед выполнением п.5 выполните еще такой скрипт:
После перезагрузки обновление должно пойти.Код:begin ExecuteRepair(5); ExecuteRepair(6); ExecuteRepair(8); ExecuteRepair(13); RebootWindows(true); end.
В крайнем случае делайте логи без обновления.
I am not young enough to know everything...
Обновился, запускает в Диспетчер задач... Осталась назойливая табличка... Делаю логи..
Логи... Спасибо. Жду ответа
выполнить:
Загрузить карантин.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINXP\system32\svchost.exe:ext.exe:$DATA',''); DeleteFile('C:\WINXP\system32\svchost.exe:ext.exe:$DATA'); ExecuteSysClean; RebootWindows(true); end.
Базы AVZ нужно обновить.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
После скрипта от PavelA, внимательно, ничего не пропуская, пофиксите в HijackThis:
и выполните скрипт в AVZ:Код:F2 - REG:system.ini: Shell=Explorer.exe C:\WINXP\system32\printer.exe O4 - HKLM\..\Run: [Salestart] "C:\Program Files\Common Files\AVSystemCare\bm.exe" dm=http://avsystemcare.com; ad=http://avsystemcare.com O4 - HKLM\..\Run: [rtasks] C:\Program Files\AVSystemCare\rtasks.exe O4 - HKLM\..\Run: [WinAVX] C:\WINXP\system32\WinAvXX.exe O4 - HKCU\..\Run: [WinAVX] C:\WINXP\system32\WinAvXX.exe O4 - Startup: system.exe O4 - Global Startup: autorun.exe
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('c:\winxp\system32\printer.exe'); DeleteFile('C:\Program Files\AVSystemCare\rtasks.exe'); DeleteFile('C:\Program Files\Common Files\AVSystemCare\bm.exe'); DeleteFile('C:\WINXP\system32\WinAvXX.exe'); DeleteFile('C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\autorun.exe'); DeleteFile('C:\Documents and Settings\sergey\Главное меню\Программы\Автозагрузка\system.exe'); BC_ImportDeletedList; ExecuteSysClean; ExecuteRepair(5); ExecuteRepair(6); ExecuteRepair(8); ExecuteRepair(16); BC_Activate; RebootWindows(true); end.
Обновите таки базы AVZ и сделайте новые логи.
I am not young enough to know everything...
@Bratez Виноват. Поторопился и пропустил.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Жду ответа. Спасибо
Последний раз редактировалось drongo; 26.10.2007 в 14:04.
карантин загрузить по ссылке: http://virusinfo.info/upload_virus.php?tid=13538
*Нажми и выполни, если хочешь чтобы помощь улучшилась и ускорилась
*MyFirefox Portable
special avz @ rapidshare.com
md5: 2091925798B7909E010E3F7E328C5F0D
Опять эта дрянь на месте!
1. Отключите восстановление системы! (Sorry, раньше не досмотрел).
2. Пофиксите в HijackThis:
(Вы случайно не забываете давить кнопочку Fix Checked?)Код:F2 - REG:system.ini: Shell=Explorer.exe C:\WINXP\system32\printer.exe O4 - HKLM\..\Run: [WinAVX] C:\WINXP\system32\WinAvXX.exe O4 - HKCU\..\Run: [WinAVX] C:\WINXP\system32\WinAvXX.exe O4 - Startup: system.exe O4 - Global Startup: autorun.exe
3. Выполните скрипт в AVZ:
При завершении выскакивает табличка "Скрипт выполнен без ошибок" или нет?Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\autorun.exe'); DeleteFile('C:\Documents and Settings\sergey\Главное меню\Программы\Автозагрузка\system.exe'); DeleteFile('C:\WINXP\system32\WinAvXX.exe'); DeleteFile('C:\WINXP\system32\printer.exe'); BC_ImportDeletedList; BC_DeleteSvc('FCI'); ExecuteSysClean; ExecuteRepair(5); ExecuteRepair(6); ExecuteRepair(8); ExecuteRepair(16); BC_Activate; RebootWindows(true); end.
Логи повторите, начиная с п.10 правил.
Последний раз редактировалось Bratez; 26.10.2007 в 16:26.
I am not young enough to know everything...
Да, пишет "Скрипт выполнен без ошибок". Востановление не отключил... ((( Сорри.
Восстановление отключил. Выкладываю логи. Спасибо... Карантин загрузил
Что-то зараза никак не удаляется.
В логе hijack не видно в ключах, зато видно в процессах, а в логах AVZ сидит.
Для зачистки удаленного:
Код:begin BC_DeleteSvc('FCI'); BC_Activate; RebootWindows(true); end.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
А что за странный порядок действий?? По времени выполнения сначала у вас HijackThis, потом syscheck, потом syscure, хотя должно быть в точности наоборот. И содержимое лога HJT не соответствует таковому в логах AVZ.
Давайте еще раз: выполняем сообщение #13 - сначала фиксим, потом скрипт, между фиксом и скриптом перезагрузку не делать. После скрипта комп перезагрузится сам. Потом перечитываем и выполняем п.10-13 правил, именно в этом порядке. Действуйте.
I am not young enough to know everything...
Замучал, наверное, уже... ((
Логи. Спасибо. Карантин заливать?
выполните скрипт...
повторите лог AVZ (стандартный скрипт 3 ) ...Код:begin SetAVZGuardStatus(True); SearchRootkit(true, true); DeleteFile('c:\winxp\system32\printer.exe'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Теперь порядок. Можно закрыть дырки в системе и выписываться.
@V_Bond я этой строчки в последних логах не вижу. Наверное, надо очки одевать.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Уважаемый(ая) Maxajmus, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.