в папках часто появляеться файл Desktop_.ini
в папках часто появляеться файл Desktop_.ini
Последний раз редактировалось pcsoft; 19.07.2008 в 11:04.
Отключите антивирус и интернет!
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
После выполнения скрипта компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('btaskv.dll',''); QuarantineFile('C:\WINDOWS\system32\yatool.dll',''); QuarantineFile('atietaxx.dll',''); QuarantineFile('atiataxx.dll',''); QuarantineFile('ati2kaag.dll',''); QuarantineFile('C:\WINDOWS\winlogon32.exe',''); QuarantineFile('C:\WINDOWS\system32\winload.dll',''); QuarantineFile('C:\WINDOWS\system32\ntos.exe',''); QuarantineFile('C:\WINDOWS\system32\drivers\spools.exe',''); QuarantineFile('C:\WINDOWS\system32\config\systemprofile\cftmon.exe',''); QuarantineFile('C:\WINDOWS\service32.exe',''); QuarantineFile('C:\WINDOWS\system32\drivers\qandr.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Jry41.sys',''); QuarantineFile('C:\WINDOWS\system32\baseqakh32.dll',''); DeleteService('Jry41'); DeleteService('qandr'); DeleteFile('C:\WINDOWS\System32\Drivers\Jry41.sys'); DeleteFile('C:\WINDOWS\system32\drivers\qandr.sys'); DeleteFile('C:\WINDOWS\service32.exe'); DeleteFile('C:\WINDOWS\system32\config\systemprofile\cftmon.exe'); DeleteFile('C:\WINDOWS\system32\drivers\spools.exe'); DeleteFile('C:\WINDOWS\system32\ntos.exe'); DeleteFile('C:\WINDOWS\system32\winload.dll'); DeleteFile('C:\WINDOWS\winlogon32.exe'); DeleteFile('C:\WINDOWS\system32\yatool.dll'); DelBHO('{54C7D1DD-4296-451e-B756-1E94F665B4FF}'); DelBHO('{3C49DDAC-3DA4-4743-AF6C-5974FEAF875C}'); BC_ImportALL; ExecuteSysClean; BC_DeleteSvc('Jry41 '); BC_DeleteSvc('qandr '); BC_Activate; RebootWindows(true); end.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке:http://virusinfo.info/upload_virus.php?tid=22355
Затем такой скрипт в AVZ:
AVZ => Файл => Мастер поиска и устранения проблем. Категория проблемы - поставьте "Системные проблемы", степень опасности - "Все проблемы". Нажмите "Пуск". Всё найденное следует пометить и пофиксить. Данную операцию повторить для категории "Настройки и твики браузера".Код:procedure ParseString (S : TStringList; SS : String; SSS : String ); var i,l : integer; begin i := Pos(SSS,SS); l := Length(ss); If l > 1 Then begin If i=0 Then S.Add(ss); If i>0 Then begin s.Add(Copy(ss,1,i-1)); ParseString(S,Copy(ss,i+1,l-i+1),SSS) end; end; end; var SL,SF : TStringList; SS, SSS : String; i : integer; begin SS := ''; SSS := ''; SL := TStringList.Create; SF := TStringList.Create; SS := RegKeyStrParamRead ('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems','Windows'); ParseString (SL,SS,' '); for i := 0 to SL.Count - 1 do Begin SS := SL[i]; If Pos('ServerDll=base',SS) > 0 Then Begin If SS <> 'ServerDll=basesrv,1' Then Begin AddToLog('Infected "SubSystem" value : ' + SS); if MessageDLG('Fix "SybSustem" parametrs ?', mtConfirmation, mbYes+mbNo, 0) = 6 then Begin SSS := SL[i]; SL[i] := 'ServerDll=basesrv,1'; AddToLog('User select "Fix" option.'); end; end; end; end; SS := ''; for i := 0 to SL.Count - 1 do Begin SS := SS + SL[i]; If SL.Count - 1 > i Then SS := SS + ' '; end; If SSS <> '' Then Begin i := Pos(',',SSS); If i = 0 Then i := Length(SSS); SSS := Copy(SSS, Pos('=',SSS) + 1, i - Pos('=',SSS)-1); AddToLog('Infection name : ' + SSS + '.dll'); SetAVZGuardStatus(True); If FileExists('%WinDir%' + '\system32\' + SSS + '.dll') = true then DeleteFile('%WinDir%' + '\system32\' + SSS + '.dll'); RegKeyParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems', 'Windows', 'REG_EXPAND_SZ', SS); SaveLog(GetAVZDirectory + 'SubSystems.log'); RebootWindows(false); end; SL.Free; SF.Free; End.
Повторите логи.
карантин выслал, выкладываю новые логи
Последний раз редактировалось pcsoft; 19.07.2008 в 11:04.
при работе Hijack This выскакивает сообщение:
Please help us improve by reporting this errorче с ним делать?
An unexpected error has occurred at procedure: modMain_StartScan()
Error # - Invalid procedure call or argument
Windows version: Windows NT 5.01.2600
MSIE version: 6.0.2900.2180
Hijack This version: 2.0.2
Последний раз редактировалось pcsoft; 19.07.2008 в 11:04.
выполните скрипт ...
пришлите карантин согласно приложения 3 правил ...Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DelBHO('{669CFA6D-450B-4d88-A9D7-D2371E845370}'); QuarantineFile('btaskv.dll',''); QuarantineFile('C:\Program Files\Google\Google Notebook\gnotes1.0.2.19--769313447.dll',''); DeleteFile('atiataxx.dll'); DeleteFile('ati2kaag.dll'); DeleteFile('btaskv.dll'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
повторите логи ...
новые логи
Последний раз редактировалось pcsoft; 19.07.2008 в 11:04.
1.Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )
Затем не перезагружая компьютерКод:O20 - Winlogon Notify: ati2kaag - C:\WINDOWS\ O20 - Winlogon Notify: atiataxx - C:\WINDOWS\ O20 - Winlogon Notify: atietaxx - atietaxx.dll (file missing)
2.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Надать кнопку "Запустить".
После выполнения скрипта компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('atietaxx.dll'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Повторите логи начиная с п. 10 правил.
Добавлено через 2 минуты
Карантин после выполния скрипта из поста №5 загрузите.
Последний раз редактировалось wise-wistful; 02.05.2008 в 15:20. Причина: Добавлено
Пофиксите
Выполните скриптКод:O1 - Hosts: 89.111.185.33 seotraff.cn O1 - Hosts: 89.111.185.33 gopanda.cn O1 - Hosts: 213.186.126.105 gopanda.cn O1 - Hosts: 89.111.185.33 202.75.33.130/~nodomain/ O1 - Hosts: 89.108.81.52 wiz2wix.com O1 - Hosts: 89.108.81.52/secure/ wiz2wix.com/secure O1 - Hosts: 89.108.81.52 202.75.33.130 O15 - Trusted Zone: http://*.della.ua O20 - Winlogon Notify: ati2kaag - C:\WINDOWS\ O20 - Winlogon Notify: atiataxx - C:\WINDOWS\ O20 - Winlogon Notify: atietaxx - atietaxx.dll (file missing)
Закачайте карантин и повторите логи.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('atietaxx.dll',''); DeleteFile('atietaxx.dll'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
После лечения обязательно обновите JavaRE.
карантин закачал
выкладываю новие логи
Последний раз редактировалось pcsoft; 19.07.2008 в 11:04.
Вот этот файлик ati2ksag.sys пришлите согласно приложению 2 правил
не стал: в карантил только репорты попали. Файл очень зловредный и меняет имя после каждой перезагрузки.
Попробуйте еще такой скрипт
Карантин , только если там образуются dta-файлы, загрузите по правилам. Повторите логи.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\atietaxx.dll',''); DeleteFile('C:\WINDOWS\system32\atietaxx.dlls'); QuarantineFile('C:\WINDOWS\system32\atiataxx.dll',''); DeleteFile('C:\WINDOWS\system32\atiataxx.dlls'); QuarantineFile('C:\WINDOWS\system32\ati2kaag.dll',''); DeleteFile('C:\WINDOWS\system32\ati2kaag.dll'); QuarantineFile('C:\WINDOWS\system32\ati2ksag.sys',''); DeleteFile('C:\WINDOWS\system32\ati2ksag.sys'); QuarantineFile('C:\WINDOWS\system32\ati2ksag.dll',''); DeleteFile('C:\WINDOWS\system32\ati2ksag.dll'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
новые логи
Последний раз редактировалось pcsoft; 19.07.2008 в 11:04.
Врагов изгнали. В логах никого. Проблемы какие-то наблюдатся?
Да обязательно.А обязательно каждый раз выключать все программы+интернет и перегружаться когда делаешь логи (пункты правил 8,9,10)?
Desktop .ini создаёт система. Смысла их удалять практически нет.
на диске D html -файлы заражены Win32.HLLW.Whboy. Drweb че-то лечит но пока толку вроде мало. Как убить заразу на корню?
Проверьте вашу систему поностью в безопасном режиме.
прочесал в безопасном режиме DrWeb
файл baseqakh32.dll из windows/system32/ заражен Trojan.Okuks.30, вылечить не удалось
кроме того комп и Maxtron жутко тормозят
выкладываю логи+карантин
Последний раз редактировалось pcsoft; 19.07.2008 в 11:04.
Уважаемый(ая) pcsoft, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.