Виснет IE, не запускается Firefox, долго грузится...

[shkurko]

Компьютер - ноутбук DuoT2250

Установлено:
ad-watch
zone-alarm
norton-antivirus, NOD32
acronis os selector

проблемы:
- IE виснет уже на втором окне при поиске в Яндексе
- FireFox перестал запускаться после ошибочной попытки апдейта установленного firefox portable на обычный (после появления приглашения обновить программу ошибочно ткнул клавишу установить). Теперь пишет, что firefox уже запущен, но не отвечает (в процессах его нет). Деинсталяция прошла с ошибкой, после чистки реестра, удаления профилей, установки обычной (не портабл) версии, удаления ее и установки обратно портабл, проблема так и не решилась.
- При запуске icq она каждый раз пытается что-то прописать в реестр (сигналит адвоч) - это нормально?
- Пропала вторая операционная система, установленная при уже работающем acronis os selector eng. После деинсталяции acronis disk suiteENG и os selectorENG и последующей установки acronis disk suiteRUS и os selectorRUS последний не нашел ранее установленную на этот же физический диск, но на другом "виртуальном диске" (диск D операционную систему.
- Антивирусы Norton и NOD ничего не находят, а sdfix удалил два трояна.
- При запуске IE на рабочем столе появляется файл ntdll.dll который возможно удалить только после закрытия IE. После удаления при запуске IE появляется снова. Пропало несколько ярлыков на рабочем столе (правда возможно это результат чистки утилитами ccleaner/norton/sdfix/avz).
- при запуске XP появилось постороннее окно (перед выбором пользователя) с кракозябрами (что-то типа [II] ) и кнопкой ОК, при этом продолжить загрузку возможно только ткнув ОК. Это произошло уже давно, возможно после первой чистки avz и sdfix.
- Ну и, наконец, очень долго грузится, какие-то странные тайм-ауты при загрузке, когда уже появился рабочий стол, но еще не запустились все службы и элементы автозагрузки, и стоит чего-то ждет, при этом невозможно ничего запустить (все запущенные в этот промежуток времени приложения одновременно открываются по окончанию какого-то определенного тайм-аута 1-3 мин.)
- Прошу, посмотрите логи на предмет решения хоть каких-то из этих проблем.

[V_Bond]

выполните скрипт....

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 QuarantineFile('C:\WINDOWS\DOWNLO~1\ACTIVE~1.OCX','');
 QuarantineFile('C:\REMINDER\Reminder.exe','');
 QuarantineFile('C:\windows\system32\DRIVERS\tunmp.sys','');
 QuarantineFile('C:\Documents and Settings\SHKURKO\Рабочий стол\NTDLL.dll','');
 QuarantineFile('C:\WINDOWS\system32\lich.exe','');
 QuarantineFile('C:\WINDOWS\system32\RDPLicense\svchost.exe','');
 DeleteFile('C:\WINDOWS\system32\lich.exe');
 DeleteFile('C:\WINDOWS\system32\RDPLicense\svchost.exe');
 BC_ImportAll;
 BC_DeleteSvc('lich');
 BC_DeleteSvc('UpdateSrv');
 BC_Activate;
 ExecuteSysClean;
 RebootWindows(true);
end.

пришлите карантин согласно приложения 3 правил ....
повторите логи ...
два антивируса не много ?

[drongo]

Перед исполнением скипта: Отключить антивирусы и adwatch, нортон удалить- всё равно старая версия и 2 антивируса и 2 файрвола- только лишние проблемы- как вы уже надеюсь убедились.

[shkurko]

QuarantineFile('C:\REMINDER\Reminder.exe','');

Этой напоминалкой уже лет пять пользуюсь, принес ее еще с win98

QuarantineFile('C:\WINDOWS\system32\RDPLicense\svc host.exe','');

Этот вроде пофиксен уже месяц назад (следы остались)?

два антивируса не много ?

Не могу определиться. Нортон обновляется сам, всегда свежая база и иногда даже что-то ловит. НОД еще ни разу ничего не перехватил за последние 4 мес. с момента установки, базы обновлять как-то непривычно (искать где-то), интерфейс а-ля доктор ВЭБ конца 90-х

[V_Bond]

где карантин и новые логи ?

[shkurko]

где карантин и новые логи ?

уже вот
Осталось только нортон снести и установить адекватную замену

[V_Bond]

выполните скрипт ...

Код:

begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
  DeleteFile('\SystemRoot\system32\DRIVERS\tunmp.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

повторите логи ....
C:\Documents and Settings\SHKURKO\Рабочий стол\NTDLL.dll - попробуйте найти и прислать по правилам ....

[shkurko]

C:\Documents and Settings\SHKURKO\Рабочий стол\NTDLL.dll - попробуйте найти и прислать по правилам ....

Действовал вроде по инструкции. Через АВЗ попробовал сархивировать: avz*.dta архивируются в два файла, *.dat в один - *.ini . Ntdll.dll с рабочего стола, как я выяснил, невозможно заархивировать даже ручками если не закрыть IE. Заархивировал его вручную - отправляю.

[shkurko]

Это нормально, что AVZ в режиме сбора информации работает 30 секунд, а в режиме лечения 30 минут? Скрипт выполнил, высылаю логи.

[Bratez]

Присланный файл чистый.

Выполните скрипт в AVZ:

Код:

begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\DRIVERS\rasl2tp.sys','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.

После перезагрузки пришлите карантин согласно приложению 3 правил.

Добавлено через 3 минуты

Это нормально, что AVZ в режиме сбора информации работает 30 секунд, а в режиме лечения 30 минут?

Да, т.к. в первом случае сканирование диска не производится.
Если предварительно очистить временные файлы IE, наверняка получится заметно быстрее.

[shkurko]

Файл отправил.

Добавлено через 23 минуты

Кстати в каталоге firefoxportable лежит похожий файл NTDLL.dll. Если его удалить, он появляется вновь при попытке запуска firefox . Эти NTDLL.dll не имеют ничего общего с ntdll.dll в каталоге виндовс ни по виду ни по размеру. Название NTDLL.dll скопировал из названия файла на рабочем столе. Сразу не соображу, как посмотреть - может там Т русская?

[Bratez]

C:\WINDOWS\system32\DRIVERS\rasl2tp.sys - Trojan-PSW.Win32.LdPinch.duq
Выполните скрипт в AVZ:

Код:

begin
BC_DeleteFile('C:\WINDOWS\system32\DRIVERS\rasl2tp.sys');
BC_Activate;
RebootWindows(true);
end.

Зловредом был подменен системный файл, который теперь надо восстановить из дистрибутива. Сделать это можно в безопасном режиме.

[shkurko]

C:\WINDOWS\system32\DRIVERS\rasl2tp.sys
Зловредом был подменен системный файл, который теперь надо восстановить из дистрибутива. Сделать это можно в безопасном режиме.

Можно немного поподробнее, я на 100 процентов уверен, что виндовс не обнаружит потерю и не попросит вставить диск с дистрибутивом Тем более, что Нортон уже пытался и долго плевался от диска с которого ставилась винда, говорил "не тот диск".

[AndreyKa]

Выложил для вас чистый файл.

[shkurko]

Спасибо, только не могу его забрать: при закачивании регетом скачивается attachment.php, эксплорером - пишет не могу открыть узел?
А винда, как я и предполагал, потери даже не заметила

[AndreyKa]

Выложил на http://depositfiles.com/files/2217270

[shkurko]

после выполнения скрипта zonealarm обнаружил

1. и удалил C:\WINDOWS\system32\DRIVERS\HPZius.sys - Trojan-PSW.Win32.LdPinch.duq
еще раньше обратил внимание, что все утилиты касающиеся принтера HP я удалил, а в процессах висит HPZius12.exe (и сейчас висит)

2. оставшуюся после удаления нортон антивируса папку карантина с 45 вирусами :О - удалил

3. и удалил c:\docum***\temp\avz_2388.tmp (Backdoor.Win32.HacDef.kc) Странное имя файла.

4. и удалил содержащее вирус содержание карантина avz

5. и удалил C:\WINDOWS\system32\ReinstallBackups\0016\DriverFi les\rimmptsk.sys (Trojan-PSW.Win32.LdPinch.duq). Кстати в папке C:\WINDOWS\system32\ReinstallBackups\ еще кучка папок с похожими названиями. Помню этот файл искала винда, когда слетел драйвер встроенного MMC ридера .

6. прямо сейчас 14 вирусов в папке drivers\ (Trojan-PSW.Win32.LdPinch.duq) несколько дней назад винда вываливалась с синим экраном смерти, а после перезагрузки сканировала и исправляла именно эти файлы) винда просит диск с дистрибутивом и ругается на имеющийся (с которго ставился, ну вы понимаете какой).
Что делать?

[Bratez]

Где ж он раньше-то был, этот Zonealarm!

Придется видимо вручную разыскивать в дистрибутиве требуемые файлы, распаковывать и класть в нужные места... Ну или выполнить установку винды поверх вашей в режиме восстановления.

[shkurko]

Он меня при установке две недели назад шантажировал - говорил, удали нортон антивирус или проверять на вирусы не буду. Я ему тогда не поверил...

Добавлено через 2 минуты

Ну или выполнить установку винды поверх вашей в режиме восстановления.

Всегда считал, что 2000 последняя, в которой такое возможно.

[shkurko]

В общем пока не решилась ни одна проблема из шапки темы
Прикрепляю текущие логи.
Посмотрите, пожалуйста.