Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 31.

WMSetup и все-все-все... (заявка № 24100)

  1. #1
    Junior Member Репутация
    Регистрация
    14.12.2007
    Сообщений
    62
    Вес репутации
    37

    Thumbs up WMSetup и все-все-все...

    Поймал subj. Одновременно с ним - куча файлов с расширениями .dll и .sys в C:\WINDOWS\system32\. CureIt обнаруживает, говорит, что удаляет, просит перегрузиться... и все остается на своих местах...
    Прошу помощи.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1501
    м - да .... "рука бойца колоть устала ...."
    сп1 + отсутствие антивируса ...
    віполните скрипт ...
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DelBHO('{9490415F-65F8-B5C5-D8BA-9405FB120549}');
     DelBHO('{91698482-6555-3666-1222-954784129019}');
     DelBHO('{83BA45AF-FAAA-CDDD-BEEE-BCDE1234AB38}');
     DelBHO('{81954FAC-1023-154F-895A-1458258AD818}');
     DelBHO('{6319A1F1-9410-9654-3201-345FFA349136}');
     DelBHO('{5A069845-2036-6084-9054-6087502480A5}');
     DelBHO('{55694105-5108-9405-3695-954187462155}');
     DelBHO('{50940F85-F015-14F1-A05F-F69858AC6D05}');
     DelBHO('{4FD45A54-9875-698F-E56E-65102358FDF4}');
     DelBHO('{37AC9076-C898-B098-D098-A18319080973}');
     DelBHO('{33512378-9874-5641-1025-985420368733}');
     DelBHO('{32023698-6984-8541-9654-698745012523}');
     DelBHO('{2B69874A-C58C-458D-69F0-698F874E41B2}');
     DelBHO('{22596546-2036-9451-6058-658402589722}');
     DelBHO('{13FD5987-65D2-C58D-D87E-987451F12531}');
     QuarantineFile('C:\WINDOWS\TEMP\wmsetup.dll','');
     QuarantineFile('C:\WINDOWS\System32\zywmfime.dll','');
     QuarantineFile('C:\WINDOWS\System32\zxptejpg.dll','');
     QuarantineFile('C:\WINDOWS\System32\zptlcsys.dll','');
     QuarantineFile('C:\WINDOWS\System32\zdesfx.dll','');
     QuarantineFile('C:\WINDOWS\System32\yzztimsn.dll','');
     QuarantineFile('C:\WINDOWS\System32\yxfhcjpg.dll','');
     QuarantineFile('C:\WINDOWS\System32\ypdjfbmp.dll','');
     QuarantineFile('C:\WINDOWS\System32\ydgn.dll','');
     QuarantineFile('C:\WINDOWS\System32\xfgnfx.dll','');
     QuarantineFile('C:\WINDOWS\System32\xdhdg.dll','');
     QuarantineFile('C:\WINDOWS\System32\wyrsdj.dll','');
     QuarantineFile('C:\WINDOWS\System32\ukrth.dll','');
     QuarantineFile('C:\WINDOWS\System32\thef.dll','');
     QuarantineFile('C:\WINDOWS\System32\swsxachu.dll','');
     QuarantineFile('C:\WINDOWS\System32\sthth.dll','');
     QuarantineFile('C:\WINDOWS\System32\skqncbib.dll','');
     QuarantineFile('C:\WINDOWS\System32\sefawe.dll','');
     QuarantineFile('C:\WINDOWS\System32\ozfyebyt.dll','');
     QuarantineFile('C:\WINDOWS\System32\oswxcttb.dll','');
     QuarantineFile('C:\WINDOWS\System32\oqrthc.dll','');
     QuarantineFile('C:\WINDOWS\System32\opshbbty.dll','');
     QuarantineFile('C:\WINDOWS\System32\njritc.dll','');
     QuarantineFile('C:\WINDOWS\System32\nhmxcjkl.dll','');
     QuarantineFile('C:\WINDOWS\System32\mpwdeapi.dll','');
     QuarantineFile('C:\WINDOWS\System32\lassaplo.dll','');
     QuarantineFile('C:\WINDOWS\System32\lariytrz.dll','');
     QuarantineFile('C:\WINDOWS\System32\kduy.dll','');
     QuarantineFile('C:\WINDOWS\System32\jkhjsd.dll','');
     QuarantineFile('C:\WINDOWS\System32\jhrcar.dll','');
     QuarantineFile('C:\WINDOWS\System32\hjmh.dll','');
     QuarantineFile('C:\WINDOWS\System32\hjk.dll','');
     QuarantineFile('C:\WINDOWS\System32\hhrdxd.dll','');
     QuarantineFile('C:\WINDOWS\System32\hgfhk.dll','');
     QuarantineFile('C:\WINDOWS\System32\hfrdzx.dll','');
     QuarantineFile('C:\WINDOWS\System32\gjbhr.dll','');
     QuarantineFile('C:\WINDOWS\System32\fydgky.dll','');
     QuarantineFile('C:\WINDOWS\System32\dtrgjy.dll','');
     QuarantineFile('C:\WINDOWS\System32\dehkj.dll','');
     QuarantineFile('C:\WINDOWS\System32\crugd.dll','');
     QuarantineFile('C:\WINDOWS\System32\apsgdjba.dll','');
     QuarantineFile('C:\WINDOWS\linkinfo.dll','');
     QuarantineFile('C:\DOCUME~2\Father\LOCALS~1\Temp\wmsetup.dll','');
     DeleteFile('C:\DOCUME~2\Father\LOCALS~1\Temp\wmsetup.dll');
     DeleteFile('C:\WINDOWS\System32\apsgdjba.dll');
     DeleteFile('C:\WINDOWS\System32\crugd.dll');
     DeleteFile('C:\WINDOWS\System32\dehkj.dll');
     DeleteFile('C:\WINDOWS\System32\dtrgjy.dll');
     DeleteFile('C:\WINDOWS\System32\fydgky.dll');
     DeleteFile('C:\WINDOWS\System32\gjbhr.dll');
     DeleteFile('C:\WINDOWS\System32\hfrdzx.dll');
     DeleteFile('C:\WINDOWS\System32\hgfhk.dll');
     DeleteFile('C:\WINDOWS\System32\hhrdxd.dll');
     DeleteFile('C:\WINDOWS\System32\hjk.dll');
     DeleteFile('C:\WINDOWS\System32\hjmh.dll');
     DeleteFile('C:\WINDOWS\System32\jhrcar.dll');
     DeleteFile('C:\WINDOWS\System32\jkhjsd.dll');
     DeleteFile('C:\WINDOWS\System32\kduy.dll');
     DeleteFile('C:\WINDOWS\System32\lariytrz.dll');
     DeleteFile('C:\WINDOWS\System32\lassaplo.dll');
     DeleteFile('C:\WINDOWS\System32\mpwdeapi.dll');
     DeleteFile('C:\WINDOWS\System32\nhmxcjkl.dll');
     DeleteFile('C:\WINDOWS\System32\njritc.dll');
     DeleteFile('C:\WINDOWS\System32\opshbbty.dll');
     DeleteFile('C:\WINDOWS\System32\oqrthc.dll');
     DeleteFile('C:\WINDOWS\System32\oswxcttb.dll');
     DeleteFile('C:\WINDOWS\System32\ozfyebyt.dll');
     DeleteFile('C:\WINDOWS\System32\skqncbib.dll');
     DeleteFile('C:\WINDOWS\System32\sthth.dll');
     DeleteFile('C:\WINDOWS\System32\swsxachu.dll');
     DeleteFile('C:\WINDOWS\System32\thef.dll');
     DeleteFile('C:\WINDOWS\System32\ukrth.dll');
     DeleteFile('C:\WINDOWS\System32\wyrsdj.dll');
     DeleteFile('C:\WINDOWS\System32\xdhdg.dll');
     DeleteFile('C:\WINDOWS\System32\xfgnfx.dll');
     DeleteFile('C:\WINDOWS\System32\ydgn.dll');
     DeleteFile('C:\WINDOWS\System32\ypdjfbmp.dll');
     DeleteFile('C:\WINDOWS\System32\yxfhcjpg.dll');
     DeleteFile('C:\WINDOWS\System32\yzztimsn.dll');
     DeleteFile('C:\WINDOWS\System32\zdesfx.dll');
     DeleteFile('C:\WINDOWS\System32\zptlcsys.dll');
     DeleteFile('C:\WINDOWS\System32\zxptejpg.dll');
     DeleteFile('C:\WINDOWS\System32\zywmfime.dll');
     DeleteFile('C:\WINDOWS\TEMP\wmsetup.dll');
     DeleteFile('awef.dll');
     DeleteFile('bjrvm.dll');
     DeleteFile('bnxnb.dll');
     DeleteFile('cdxbfxdb.dll');
     DeleteFile('chmfcmh.dll');
     DeleteFile('dbfb.dll');
     DeleteFile('dfhsh.dll');
     DeleteFile('dhugtj.dll');
     DeleteFile('dnteh.dll');
     DeleteFile('drghszd.dll');
     DeleteFile('dscef.dll');
     DeleteFile('ektvm.dll');
     DeleteFile('ethsh.dll');
     DeleteFile('fhjfg.dll');
     DeleteFile('fjyjy.dll');
     DeleteFile('fngn.dll');
     DeleteFile('frntrn.dll');
     DeleteFile('fxgnfx.dll');
     DeleteFile('fxnfnh.dll');
     DeleteFile('gfcfg.dll');
     DeleteFile('gjkhj.dll');
     DeleteFile('gmnait.dll');
     DeleteFile('hfjg.dll');
     DeleteFile('hfther.dll');
     DeleteFile('hgnmjsdg.dll');
     DeleteFile('hjaiq.dll');
     DeleteFile('hjtdrh.dll');
     DeleteFile('hkfgh.dll');
     DeleteFile('hyjmt.dll');
     DeleteFile('ijatnaw.dll');
     DeleteFile('jwlah.dll');
     DeleteFile('jzijj.dll');
     DeleteFile('mrjhtjd.dll');
     DeleteFile('qrhhb.dll');
     DeleteFile('rdthr.dll');
     DeleteFile('rgghjj.dll');
     DeleteFile('rhs.dll');
     DeleteFile('sehhter.dll');
     DeleteFile('serger.dll');
     DeleteFile('serghjm.dll');
     DeleteFile('setrhes.dll');
     DeleteFile('stehs.dll');
     DeleteFile('thsddh.dll');
     DeleteFile('tjdegtr.dll');
     DeleteFile('uyjtd.dll');
     DeleteFile('wfhyt.dll');
     DeleteFile('xbcvxb.dll');
     DeleteFile('xdfntt.dll');
     DeleteFile('xdndn.dll');
     DeleteFile('xfgnhcgfm.dll');
     DeleteFile('xgnfn.dll');
     DeleteFile('yjrfe.dll');
     DeleteFile('ytjkyer.dll');
     DeleteFile('zdbdb.dll');
     DeleteFile('zfdzb.dll');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    пришлите карантин согласно приложения 3 правил ...
    повторите логи ...

  4. #3
    Junior Member Репутация
    Регистрация
    14.12.2007
    Сообщений
    62
    Вес репутации
    37
    1. Параллельно хочу сказать, что методом, описанным у Вас, отключить восстановление системы не удается. Идет "Ошибка восстановления системы при включении/отключении одного или нескольких устройств. Перезагрузите и повторите попытку". Перезагружаю - то же самое. Могу отключить лишь службу восстановления...
    После выполнения скрипта:
    2. Некоторые файлы .dll в директории C:\WINDOWS\system32\ стали .bak'ами.
    3. Та же wmsetup.dll (и wmsetup.bak) есть и в C:\WINDOWS\Temp\ и в c:\Documents and Settings\Father\Local Settings\Temp\. В последней еще и подозрительные файлы .gif.
    4. Подозрительные файлы (включая Jview.dll) есть и в директории c:\WINDOWS\AppPatch\.

    Карантин прилагаю. Логи чуть позже, время же надо...
    PS Попытался кинуть карантин. Не вышло... "
    virus.zip:
    388.3 Кбайт превысил(а) предел на форуме. Нажмите здесь для просмотра ваших вложений "
    Что делать?

  5. #4
    Banned Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    18.11.2007
    Сообщений
    3,293
    Вес репутации
    0
    an2000 Вас же просили выслать карантин согласно приложения 3 правил, т.е. по ссылке http://virusinfo.info/upload_virus.php?tid=24100

  6. #5
    Junior Member Репутация
    Регистрация
    14.12.2007
    Сообщений
    62
    Вес репутации
    37
    Цитата Сообщение от wise-wistful Посмотреть сообщение
    an2000 Вас же просили выслать карантин согласно приложения 3 правил, т.е. по ссылке http://virusinfo.info/upload_virus.php?tid=24100
    Я и хотел отослать, нажав на "прислать запрошенный карантин", но уже начал писать ответ (а ссылка в этоот момент пропадает!). Я ее не нашел и...
    PS Отправил. Как положено.
    Последний раз редактировалось an2000; 05.06.2008 в 23:54. Причина: дополнение

  7. #6
    Junior Member Репутация
    Регистрация
    14.12.2007
    Сообщений
    62
    Вес репутации
    37
    А вот и логи. Правда, чем они будут отличаться от первоначальных - я не знаю.
    Вложения Вложения

  8. #7
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1501
    Восстановление системы - отключить ...
    пофиксите ...
    Код:
    O2 - BHO: swsxachu.dll - {13FD5987-65D2-C58D-D87E-987451F12531} - C:\WINDOWS\System32\swsxachu.dll (file missing)
    O2 - BHO: opshbbty.dll - {22596546-2036-9451-6058-658402589722} - C:\WINDOWS\System32\opshbbty.dll (file missing)
    O2 - BHO: lassaplo.dll - {2B69874A-C58C-458D-69F0-698F874E41B2} - C:\WINDOWS\System32\lassaplo.dll (file missing)
    O2 - BHO: skqncbib.dll - {32023698-6984-8541-9654-698745012523} - C:\WINDOWS\System32\skqncbib.dll (file missing)
    O2 - BHO: oswxcttb.dll - {33512378-9874-5641-1025-985420368733} - C:\WINDOWS\System32\oswxcttb.dll (file missing)
    O2 - BHO: yxcschlp.dll - {35671234-7890-ABCD-CDEF-567801237653} - C:\WINDOWS\System32\yxcschlp.dll
    O2 - BHO: nhmxcjkl.dll - {37AC9076-C898-B098-D098-A18319080973} - C:\WINDOWS\System32\nhmxcjkl.dll (file missing)
    O2 - BHO: apsgdjba.dll - {4FD45A54-9875-698F-E56E-65102358FDF4} - C:\WINDOWS\System32\apsgdjba.dll (file missing)
    O2 - BHO: zptlcsys.dll - {50940F85-F015-14F1-A05F-F69858AC6D05} - C:\WINDOWS\System32\zptlcsys.dll (file missing)
    O2 - BHO: mpwdeapi.dll - {55694105-5108-9405-3695-954187462155} - C:\WINDOWS\System32\mpwdeapi.dll (file missing)
    O2 - BHO: ozfyebyt.dll - {5A069845-2036-6084-9054-6087502480A5} - C:\WINDOWS\System32\ozfyebyt.dll (file missing)
    O2 - BHO: zywmfime.dll - {6319A1F1-9410-9654-3201-345FFA349136} - C:\WINDOWS\System32\zywmfime.dll (file missing)
    O2 - BHO: mnmhgsrv.dll - {7C8D1401-A58D-A81C-CD24-A5915C4517C7} - C:\WINDOWS\System32\mnmhgsrv.dll
    O2 - BHO: ypdjfbmp.dll - {81954FAC-1023-154F-895A-1458258AD818} - C:\WINDOWS\System32\ypdjfbmp.dll (file missing)
    O2 - BHO: yxfhcjpg.dll - {83BA45AF-FAAA-CDDD-BEEE-BCDE1234AB38} - C:\WINDOWS\System32\yxfhcjpg.dll (file missing)
    O2 - BHO: zxptejpg.dll - {91698482-6555-3666-1222-954784129019} - C:\WINDOWS\System32\zxptejpg.dll (file missing)
    O2 - BHO: yzztimsn.dll - {9490415F-65F8-B5C5-D8BA-9405FB120549} - C:\WINDOWS\System32\yzztimsn.dll (file missing)
    O20 - AppInit_DLLs: dehkj.dll,dtrgjy.dll,grgrjj.dll,wergjuk.dll,sergy.dll,ergfwe.dll,hjfgth.dll,trhth.dll,rthrk.dll,dgrdgr.dll,hrergh.dll,ghthhh.dll,hjk.dll,gjbhr.dll,gfcfg.dll,frntrn.dll,qrhhb.dll,drghszd.dll,fngn.dll,gnfctt.dll,xgnfn.dll,xfgnhcgfm.dll,serger.dll,bnxnb.dll,fxgnfx.dll,jzijj.dll,xfgnfx.dll,serghjm.dll,thsddh.dll,xbcvxb.dll,zfdzb.dll,xdndn.dll,xdfntt.dll,hgfhk.dll,dnteh.dll,xfng.dll,njritc.dll,chmfcmh.dll,jwlah.dll,gmnait.dll,hfjg.dll,thurh.dll,mgmgmm.dll,oqrthc.dll,thyut.dll,jyjlt.dll,ijatnaw.dll,sehhter.dll,fhjfg.dll,zdbdb.dll,ydgn.dll,dbfb.dll,fjnbv.dll,fgffthui.dll,setrhes.dll,cdxbfxdb.dll,xfgnxfn.dll,gjkhj.dll,xdhdg.dll,rhs.dll,mrjhtjd.dll,zdbfbd.dll,fjyjy.dll,fxnfnh.dll,bjrvm.dll,ektvm.dll,rdthr.dll,yjrfe.dll,dscef.dll,crugd.dll,lariytrz.dll,hjaiq.dll,kduy.dll,hkfgh.dll,awef.dll,dfhsh.dll,ethsh.dll,stehs.dll,sthth.dll,wfhyt.dll,rgghjj.dll,ghjkdr.dll,hfther.dll,
    віполните скрипт ...
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DelBHO('{9490415F-65F8-B5C5-D8BA-9405FB120549}');
     DelBHO('{91698482-6555-3666-1222-954784129019}');
     DelBHO('{83BA45AF-FAAA-CDDD-BEEE-BCDE1234AB38}');
     DelBHO('{81954FAC-1023-154F-895A-1458258AD818}');
     DelBHO('{6319A1F1-9410-9654-3201-345FFA349136}');
     DelBHO('{5A069845-2036-6084-9054-6087502480A5}');
     DelBHO('{55694105-5108-9405-3695-954187462155}');
     DelBHO('{50940F85-F015-14F1-A05F-F69858AC6D05}');
     DelBHO('{4FD45A54-9875-698F-E56E-65102358FDF4}');
     DelBHO('{37AC9076-C898-B098-D098-A18319080973}');
     DelBHO('{35671234-7890-ABCD-CDEF-567801237653}');
     DelBHO('{33512378-9874-5641-1025-985420368733}');
     DelBHO('{32023698-6984-8541-9654-698745012523}');
     DelBHO('{22596546-2036-9451-6058-658402589722}');
     DelBHO('{13FD5987-65D2-C58D-D87E-987451F12531}');
     QuarantineFile('C:\WINDOWS\System32\yxcschlp.dll','');
     QuarantineFile('C:\WINDOWS\System32\mnmhgsrv.dll','');
     QuarantineFile('C:\DOCUME~2\Father\LOCALS~1\Temp\wmsetup.dll','');
     DeleteFile('C:\DOCUME~2\Father\LOCALS~1\Temp\wmsetup.dll');
     DeleteFile('C:\WINDOWS\System32\mnmhgsrv.dll');
     DeleteFile('C:\WINDOWS\System32\yxcschlp.dll');
     DeleteFile('C:\WINDOWS\System32\hfrdzx.dll');
     DeleteFile('C:\WINDOWS\System32\hhrdxd.dll');
     DeleteFile('C:\WINDOWS\System32\jhrcar.dll');
     DeleteFile('C:\WINDOWS\System32\lassaplo.dll');
     DeleteFile('C:\WINDOWS\System32\mpwdeapi.dll');
     DeleteFile('C:\WINDOWS\System32\nhmxcjkl.dll');
     DeleteFile('C:\WINDOWS\System32\opshbbty.dll');
     DeleteFile('C:\WINDOWS\System32\oswxcttb.dll');
     DeleteFile('C:\WINDOWS\System32\ozfyebyt.dll');
     DeleteFile('C:\WINDOWS\System32\skqncbib.dll');
     DeleteFile('C:\WINDOWS\System32\swsxachu.dll');
     DeleteFile('C:\WINDOWS\System32\wyrsdj.dll');
     DeleteFile('C:\WINDOWS\System32\ypdjfbmp.dll');
     DeleteFile('C:\WINDOWS\System32\yxfhcjpg.dll');
     DeleteFile('C:\WINDOWS\System32\zptlcsys.dll');
     DeleteFile('C:\WINDOWS\System32\zxptejpg.dll');
     DeleteFile('C:\WINDOWS\System32\zywmfime.dll');
     DeleteFile('awef.dll');
     DeleteFile('bjrvm.dll');
     DeleteFile('cdxbfxdb.dll');
     DeleteFile('chmfcmh.dll');
     DeleteFile('crugd.dll');
     DeleteFile('dbfb.dll');
     DeleteFile('dehkj.dll');
     DeleteFile('dgrdgr.dll');
     DeleteFile('dnteh.dll');
     DeleteFile('drghszd.dll');
     DeleteFile('ektvm.dll');
     DeleteFile('ergfwe.dll');
     DeleteFile('fgffthui.dll');
     DeleteFile('fhjfg.dll');
     DeleteFile('fjyjy.dll');
     DeleteFile('fngn.dll');
     DeleteFile('fxgnfx.dll');
     DeleteFile('fxnfnh.dll');
     DeleteFile('ghjkdr.dll');
     DeleteFile('ghthhh.dll');
     DeleteFile('gjkhj.dll');
     DeleteFile('hfjg.dll');
     DeleteFile('hfther.dll');
     DeleteFile('hgfhk.dll');
     DeleteFile('hjk.dll');
     DeleteFile('hrergh.dll');
     DeleteFile('jwlah.dll');
     DeleteFile('jyjlt.dll');
     DeleteFile('mgmgmm.dll');
     DeleteFile('mrjhtjd.dll');
     DeleteFile('njritc.dll');
     DeleteFile('oqrthc.dll');
     DeleteFile('rgghjj.dll');
     DeleteFile('sehhter.dll');
     DeleteFile('serghjm.dll');
     DeleteFile('sthth.dll');
     DeleteFile('thsddh.dll');
     DeleteFile('wergjuk.dll');
     DeleteFile('wfhyt.dll');
     DeleteFile('xdfntt.dll');
     DeleteFile('xdhdg.dll');
     DeleteFile('xfgnfx.dll');
     DeleteFile('xfgnhcgfm.dll');
     DeleteFile('xfng.dll');
     DeleteFile('zdbdb.dll');
     DeleteFile('yjrfe.dll');
     DeleteFile('zdbfbd.dll');
     DeleteFile('zfdzb.dll');
     DeleteFile('C:\WINDOWS\System32\apsgdjba.dll');
     DeleteFile('C:\WINDOWS\System32\yzztimsn.dll');
     DeleteFile('C:\WINDOWS\system32\zxfhajpg.exe');
     DeleteFile('C:\WINDOWS\system32\zxcsahlp.exe');
     DeleteFile('C:\WINDOWS\system32\zsdjabmp.exe');
     DeleteFile('C:\WINDOWS\system32\zptlcsys.bak');
     DeleteFile('C:\WINDOWS\system32\zdesfx.bak');
     DeleteFile('C:\WINDOWS\system32\yxcschlp.dll');
     DeleteFile('C:\WINDOWS\system32\wyrsdj.bak');
     DeleteFile('C:\WINDOWS\system32\ukrth.bak');
     DeleteFile('C:\WINDOWS\system32\sfsxachu.exe');
     DeleteFile('C:\WINDOWS\system32\opshbbty.bak');
     DeleteFile('C:\WINDOWS\system32\mnmhgsrv.dll');
     DeleteFile('C:\WINDOWS\system32\lpsgajba.exe');
     DeleteFile('C:\WINDOWS\system32\jhrcar.bak');
     DeleteFile('C:\WINDOWS\system32\hjmh.bak');
     DeleteFile('C:\WINDOWS\system32\hhrdxd.bak');
     DeleteFile('C:\WINDOWS\system32\hfrdzx.bak');
     DeleteFile('C:\WINDOWS\system32\azwmaime.exe');
     DeleteFile('C:\WINDOWS\system32\apsgdjba.bak');
     DeleteFile('C:\WINDOWS\system32\aitlasys.exe');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    пришлите карантин согласно приложения 3 правил ...
    повторите логи ...

  9. #8
    Junior Member Репутация
    Регистрация
    14.12.2007
    Сообщений
    62
    Вес репутации
    37
    Насчет отключения системы я писал выше. Службу отключил. Выполнять?

  10. #9
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1501
    выполняйте...

  11. #10
    Junior Member Репутация
    Регистрация
    14.12.2007
    Сообщений
    62
    Вес репутации
    37
    HiJack пофиксил. Скрипт выполнил. Перегрузился. При запуске в AVZ скрипта лечения/карантина и сбора информации система стала перегружаться. До окончания работы AVZ...
    Жду указаний.
    Последний раз редактировалось an2000; 06.06.2008 в 17:56. Причина: дополнение

  12. #11
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1501
    делайте логи начиная с пункта 10 правил ...

  13. #12
    Junior Member Репутация
    Регистрация
    14.12.2007
    Сообщений
    62
    Вес репутации
    37
    Done.
    Вложения Вложения

  14. #13
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1501
    уже лучше ...
    выполните скрипт ...
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('c:\windows\apppatch\acxtrnel.dll','');
     DelBHO('{7C8D1401-A58D-A81C-CD24-A5915C4517C7}');
     DelBHO('{35671234-7890-ABCD-CDEF-567801237653}');
     QuarantineFile('C:\WINDOWS\System32\mnmhgsrv.dll','');
     QuarantineFile('C:\WINDOWS\System32\yxcschlp.dll','');
     QuarantineFile('C:\WINDOWS\System32\zdesfx.dll','');
     QuarantineFile('C:\DOCUME~2\Father\LOCALS~1\Temp\wmsetup.dll','');
     QuarantineFile('C:\WINDOWS\TEMP\wmsetup.dll','');
     DeleteFile('C:\WINDOWS\TEMP\wmsetup.dll');
     DeleteFile('C:\DOCUME~2\Father\LOCALS~1\Temp\wmsetup.dll');
     DeleteFile('C:\WINDOWS\System32\zdesfx.dll');
     DeleteFile('C:\WINDOWS\System32\yxcschlp.dll');
     DeleteFile('C:\WINDOWS\System32\mnmhgsrv.dll');
     DeleteFile('c:\windows\apppatch\acxtrnel.dll');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    пришлите карантин согласно приложения 3 правил ...
    повторите логи ...

  15. #14
    Junior Member Репутация
    Регистрация
    14.12.2007
    Сообщений
    62
    Вес репутации
    37
    Карантин выслал (2008-06-06.zip). Старые файлы из него убрал (для уменьшения). Первый скрипт все так же перегружает комп. Остальные два лога прилагаю.
    Вложения Вложения

  16. #15
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1501
    выполните скрипт ...
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteFile('C:\WINDOWS\Downloaded Program Files\ThunderAdvise.dll');
     DeleteFile('C:\WINDOWS\AppPatch\Jview.dll');
     DeleteFile('c:\windows\apppatch\acxtrnel.dll');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    повторите логи ...

  17. #16
    Junior Member Репутация
    Регистрация
    14.12.2007
    Сообщений
    62
    Вес репутации
    37
    Информация к размышлению.
    В директории C:\WINDOWS\system32\drivers\ торчат vdexntq5.sys, cdralw.sys.
    В C:\WINDOWS\Temp\ и c:\Documents and Settings\Father\Local Settings\Temp\ постоянно присутствует wmsetup.bak (той же длины - 5632).
    Сейчас будут логи.

  18. #17
    Junior Member Репутация
    Регистрация
    14.12.2007
    Сообщений
    62
    Вес репутации
    37
    Вот и они!
    Вложения Вложения

  19. #18
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1501
    пофиксите ...
    Код:
    O2 - BHO: ThunderAdvise - {97421D0D-E07F-40DF-8F07-99597B9585AD} - C:\WINDOWS\Downloaded Program Files\ThunderAdvise.dll (file missing)
    віполните скрипт ...
    Код:
    begin
     ClearQuarantine;
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     QuarantineFile(' C:\WINDOWS\system32\drivers\IsDrv122.sys','');
     QuarantineFile(' C:\WINDOWS\system32\drivers\cdralw.sys','');     
     BC_ImportQuarantineList;
     BC_Activate;
     RebootWindows(true);
    end.
    пришлите карантин согласно приложения 3 правил ...

  20. #19
    Junior Member Репутация
    Регистрация
    14.12.2007
    Сообщений
    62
    Вес репутации
    37
    Запустил HiJack, чтобы пофиксить... а там... гляньте...
    Вложения Вложения

  21. #20
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1501
    .... выполните пункт 2 правил , затем установите пробную версию антивируса касперского - провертесь .... и потом новые логи ....

  • Уважаемый(ая) an2000, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. wmsetup.dll лечится ДрВебом
      От Чижъ в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 30.04.2009, 09:56
    2. Avast обнаруживает wmsetup.dll
      От Magican в разделе Помогите!
      Ответов: 21
      Последнее сообщение: 22.02.2009, 06:26
    3. Не убиваемые wmsetup.dll, framdee.ttf
      От levcom в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 22.02.2009, 01:27
    4. Как убить wmsetup.dll
      От sma11 в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 03.12.2008, 12:30

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00814 seconds with 17 queries