отключено ли автоматическое восстановление системы мне не известно, т.к. не пускает.
отключено ли автоматическое восстановление системы мне не известно, т.к. не пускает.
Последний раз редактировалось vve; 20.05.2008 в 10:42.
1. Скачайте эту программку (пока не запускайте):
http://www.tksinc.us/downloads/WinsockXPFix.exe
2. Пофиксите в HijackThis:
3. Выполните скрипт в AVZ:Код:F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,C:\WINDOWS\System32\ntos.exe, O2 - BHO: C:\WINDOWS\System32\hdxjd4g.dll - {B5AC49A2-94F2-42BD-F434-2604812C897D} - C:\WINDOWS\System32\hdxjd4g.dll (file missing) O2 - BHO: C:\WINDOWS\System32\djki397g.dll - {B5AF0562-94F3-42BD-F434-2604812C797D} - C:\WINDOWS\System32\djki397g.dll (file missing) O2 - BHO: (no name) - {CE86878F-D099-4FFC-A4DC-E51D192063B1} - C:\WINDOWS\system32\ddcCRHAr.dll O2 - BHO: (no name) - {F2F2A4CB-DAAD-4D0C-BDFC-E945647202C2} - c:\autoex.dll (file missing) O2 - BHO: (no name) - {F83FE620-D7CB-4DE3-85D2-BC48130A572E} - C:\WINDOWS\System32\hgGwWPIY.dll (file missing) O2 - BHO: Aero skin - {FFFFFFFF-B432-46fc-9143-B82B832B1B14} - sincim32.dll (file missing) O4 - HKLM\..\Run: [System] C:\WINDOWS\System32\wind32.exe O4 - HKLM\..\Run: [advap32] C:\WINDOWS\TEMP\47F8.tmp/r O4 - HKLM\..\Run: [SystemDrive] C:\WINDOWS\System32\maxpaynow1.exe O4 - HKCU\..\Run: [Hhjg5jfd93dftdf] C:\WINDOWS\TEMP\winlagon.exe O4 - HKCU\..\Run: [Jnskdfmf9eldfd] C:\DOCUME~1\Первый\LOCALS~1\Temp\csrssc.exe O4 - HKCU\..\Run: [Service Pack 1] C:\WINDOWS\System32\vedxg6ame4.exe O4 - HKCU\..\Run: [libor] C:\WINDOWS\libor.exe O4 - HKUS\S-1-5-18\..\Run: [Hhjg5jfd93dftdf] C:\WINDOWS\TEMP\winlagon.exe (User 'SYSTEM') O4 - HKUS\S-1-5-18\..\Run: [Jnskdfmf9eldfd] C:\WINDOWS\TEMP\csrssc.exe (User 'SYSTEM') O4 - HKUS\S-1-5-18\..\Run: [userinit] C:\WINDOWS\System32\ntos.exe (User 'SYSTEM') O20 - AppInit_DLLs: C:\WINDOWS\system32\wowfx.dll O20 - Winlogon Notify: ddcCRHAr - C:\WINDOWS\SYSTEM32\ddcCRHAr.dll O22 - SharedTaskScheduler: Hjkfj93dffd - {B5AF0562-94F3-42BD-F434-2604812C797D} - C:\WINDOWS\System32\djki397g.dll (file missing) O22 - SharedTaskScheduler: Hkjr94jdfdgj - {B5AC49A2-94F2-42BD-F434-2604812C897D} - C:\WINDOWS\System32\hdxjd4g.dll (file missing)
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); QuarantineFile('G:\autorun.inf',''); QuarantineFile('sincim32.dll',''); QuarantineFile('C:\WINDOWS\System32\hgGwWPIY.dll',''); QuarantineFile('c:\autoex.dll',''); QuarantineFile('C:\Program Files\syscmd\mscmp32.dll',''); QuarantineFile('C:\WINDOWS\system32\drivers\spools.exe',''); QuarantineFile('C:\WINDOWS\libor.exe',''); QuarantineFile('C:\WINDOWS\TEMP\winlagon.exe',''); QuarantineFile('C:\WINDOWS\TEMP\csrssc.exe',''); QuarantineFile('C:\WINDOWS\TEMP\47F8.tmp',''); QuarantineFile('C:\WINDOWS\System32\wowfx.dll',''); QuarantineFile('C:\WINDOWS\System32\ntos.exe',''); QuarantineFile('C:\WINDOWS\System32\hdxjd4g.dll',''); QuarantineFile('C:\WINDOWS\System32\djki397g.dll',''); QuarantineFile('C:\Documents and Settings\LocalService\Local Settings\Application Data\cftmon.exe',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Din84.sys',''); QuarantineFile('C:\WINDOWS\System32\wind32.exe',''); QuarantineFile('C:\WINDOWS\System32\vedxg6ame4.exe',''); QuarantineFile('C:\WINDOWS\System32\maxpaynow1.exe',''); QuarantineFile('C:\WINDOWS\System32\fiod.dll',''); QuarantineFile('C:\WINDOWS\System32\dllgh8jkd1q7.exe',''); QuarantineFile('C:\WINDOWS\System32\dllgh8jkd1q6.exe',''); QuarantineFile('C:\WINDOWS\system32\ddcCRHAr.dll',''); QuarantineFile('C:\DOCUME~1\Первый\LOCALS~1\Temp\csrssc.exe',''); QuarantineFile('C:\Documents and Settings\Первый\ie_updates3r.exe',''); DeleteFile('C:\Documents and Settings\Первый\ie_updates3r.exe'); DeleteFile('C:\DOCUME~1\Первый\LOCALS~1\Temp\csrssc.exe'); DeleteFile('C:\WINDOWS\system32\ddcCRHAr.dll'); DeleteFile('C:\WINDOWS\System32\dllgh8jkd1q6.exe'); DeleteFile('C:\WINDOWS\System32\dllgh8jkd1q7.exe'); DeleteFile('C:\WINDOWS\System32\fiod.dll'); DeleteFile('C:\WINDOWS\System32\maxpaynow1.exe'); DeleteFile('C:\WINDOWS\System32\vedxg6ame4.exe'); DeleteFile('C:\WINDOWS\System32\wind32.exe'); DeleteFile('C:\WINDOWS\System32\Drivers\Din84.sys'); DeleteFile('C:\Documents and Settings\LocalService\Local Settings\Application Data\cftmon.exe'); DeleteFile('C:\WINDOWS\System32\djki397g.dll'); DeleteFile('C:\WINDOWS\System32\hdxjd4g.dll'); DeleteFile('C:\WINDOWS\System32\ntos.exe'); DeleteFile('C:\WINDOWS\System32\wowfx.dll'); DeleteFile('C:\WINDOWS\TEMP\47F8.tmp'); DeleteFile('C:\WINDOWS\TEMP\csrssc.exe'); DeleteFile('C:\WINDOWS\TEMP\winlagon.exe'); DeleteFile('C:\WINDOWS\libor.exe'); DeleteFile('C:\WINDOWS\system32\drivers\spools.exe'); DeleteFile('C:\Program Files\syscmd\mscmp32.dll'); DeleteFile('c:\autoex.dll'); DeleteFile('C:\WINDOWS\System32\hgGwWPIY.dll'); DeleteFile('sincim32.dll'); DeleteFile('C:\WINDOWS\system32\drivers\grande48.sys'); DeleteFile('C:\WINDOWS\system32\drivers\Iso56.sys'); DeleteFile('C:\WINDOWS\system32\drivers\Slt44.sys'); DeleteFile('C:\WINDOWS\system32\drivers\Tmvh53.sys'); DeleteFile('C:\WINDOWS\system32\drivers\Tpd31.sys'); DeleteFile('C:\WINDOWS\system32\dsob563.exe'); DeleteFile('C:\WINDOWS\system32\dsob564.exe'); DeleteFile('C:\WINDOWS\system32\dsob580.exe'); DeleteFile('C:\WINDOWS\system32\maxpaynow1.exe'); DeleteFile('C:\WINDOWS\system32\vedxga1me4t1.exe'); DeleteFile('C:\WINDOWS\system32\wind32.exe'); DeleteFile('C:\WINDOWS\Temp\47F8.tmp'); DeleteFile('C:\WINDOWS\Temp\istst.exe'); DeleteFile('G:\autorun.inf'); BC_ImportALL; ExecuteSysClean; ExecuteRepair(13); ExecuteRepair(14); ExecuteRepair(17); BC_Activate; RebootWindows(true); end.
4. Если интернет откажется работать, запустите скачанную программу и нажмите Fix. Имейте ввиду, что настройки сетевых подключений она сбросит, их надо будет потом ввести заново. По окончании работы программы будет перезагрузка.
5. Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=22421).
6. Сделайте новые логи.
I am not young enough to know everything...
когда фиксил, комп сказал что ковырятся в реестре может только системный администратор (хотя я и зашел как сис.адм.), но вроде пофикселось. После выполнения скрипта комп стал УЖАСНО тормозить, загружался минут десять. Панели управления нет, поэтому сделать подключение к сети не получается (я сам ошибочно сделал отключить, когда мог туда зайти, теперь не могу).
Сейчас делаю новые логи.
карантин загрузил. логи сделал
Последний раз редактировалось vve; 20.05.2008 в 10:42.
Мне даже страшно все перечислять,что было в карантине,зверинец еще тот
Многое растет отсюда:
ПофикситьКод:Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".Код:F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe,C:\WINDOWS\System32\ntos.exe, O2 - BHO: BhoApp Class - {0CB66BA8-5E1F-4963-93D1-E1D6B78FE9A2} - C:\Program Files\syscmd\mscmp32.dll (file missing) O2 - BHO: (no name) - {CE86878F-D099-4FFC-A4DC-E51D192063B1} - C:\WINDOWS\system32\ddcCRHAr.dll (file missing) O20 - AppInit_DLLs: C:\WINDOWS\system32\wowfx.dll O20 - Winlogon Notify: ddcCRHAr - ddcCRHAr.dll (file missing)
AVZ => Файл => Мастер поиска и устранения проблем. Категория проблемы - поставьте "Системные проблемы", степень опасности - "Все проблемы". Нажмите "Пуск". Всё найденное следует пометить и пофиксить. Данную операцию повторить для категории "Настройки и твики браузера".Код:begin ClearQuarantine; SearchRootkit(true, true); SetAVZGuardStatus(True); DelBHO('{CE86878F-D099-4FFC-A4DC-E51D192063B1}'); DelBHO('{0CB66BA8-5E1F-4963-93D1-E1D6B78FE9A2}'); DeleteFile('C:\WINDOWS\System32\ntos.exe'); DeleteFile('C:\WINDOWS\system32\ddcCRHAr.dll'); DeleteFile('C:\WINDOWS\system32\wowfx.dll'); DeleteFile('ddcCRHAr.dll'); DeleteFile('wowfx.dll'); DeleteFile('C:\Program Files\syscmd\mscmp32.dll'); DeleteFile('C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\8ZYLY3OR\zloy[1].exe'); DeleteFile('C:\Documents and Settings\Первый\Local Settings\Temporary Internet Files\Content.IE5\C16N09YV\access[1].htm'); DeleteFile('C:\Documents and Settings\Первый\Local Settings\Temporary Internet Files\Content.IE5\C16N09YV\access[2].htm'); DeleteFile('C:\Documents and Settings\Первый\Local Settings\Temporary Internet Files\Content.IE5\CLEJ8TYJ\access[2].htm'); DeleteFile('C:\Documents and Settings\Первый\Local Settings\Temporary Internet Files\Content.IE5\CLEJ8TYJ\access[1].htm'); DeleteFile('C:\Documents and Settings\Первый\Local Settings\Temporary Internet Files\Content.IE5\CLEJ8TYJ\access[3].htm'); DeleteFile('C:\Documents and Settings\Первый\Local Settings\Temporary Internet Files\Content.IE5\VA9E782K\access[1].htm'); DeleteFile('C:\Documents and Settings\Первый\Local Settings\Temporary Internet Files\Content.IE5\VA9E782K\access[2].htm'); DeleteFile('C:\Documents and Settings\Первый\Local Settings\Temporary Internet Files\Content.IE5\VA9E782K\access[3].htm'); DeleteFile('C:\Documents and Settings\Первый\Local Settings\Temporary Internet Files\Content.IE5\VA9E782K\access[4].htm'); DeleteFile('C:\Documents and Settings\Первый\Local Settings\Temporary Internet Files\Content.IE5\VA9E782K\access[5].htm'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; ExecuteRepair(6 ); ExecuteRepair(11 ); RebootWindows(true); end.
Очистите временные папки,кеш браузера и повторите логи.
при выполнении стандартных скриптов комп перезагружался, пришлось отключить соединение с сетью
Последний раз редактировалось vve; 20.05.2008 в 10:42.
В логах врагов не видать,какие-то проблемы остались?
Такое возможно,вот это:
Нужно срочно исправлять,иначе будете частым гостем у насКод:Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Нам интересно Ваше мнение о нашем ресурсе. Будем очень благодарны за отзыв, он может помочь нам улучшить ресурс.
Советуем прочитать электронную книгу "Безопасный Интернет. Универсальная защита для Windows ME - Vista".
Уважаемый(ая) vve, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.