Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 25.

Нужна помощь (заявка № 24538)

  1. #1
    Junior Member Репутация
    Регистрация
    13.06.2008
    Сообщений
    23
    Вес репутации
    35

    Thumbs down Нужна помощь

    Добрый день.
    Убивался после пары секунд AVZ-переименовал-теперь норм.
    Не загружались exe файлы, в панели управления ничего не загружалось, был залочен реестр-пофиксил с помощью Avz.
    Сейчас Не грузится в безопасном режиме-уходит сама на перезагрузку.
    Пункт Скрипт лечения/карантина и сбора информации для раздела "Помогите!" virusinfo.info- не проходит-так же перезагружается при выполнении.
    Утилита CUREIT не запускается-тоже в глухую перезагрузку.
    В процессе постоянно появляются 3 файла вида - winagxy.exe, winaipja.exe, winmmanynj.exe.
    Так же в атоpапуске были winlagon.exe, csrssc.exe-рукаими поубивал-теперь не появляются.
    Прикладываю лог HijackThis, и лог Скрипт сбора информации для раздела "Помогите!" virusinfo.info"
    Помогите пожалуста.
    Последний раз редактировалось Yeliseevs; 17.06.2008 в 14:36.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3000
    пофиксите
    Код:
    F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\drivers\services.exe,C:\WINDOWS\system32\ntos.exe,
    O2 - BHO: C:\WINDOWS\system32\hdxjd4g.dll - {B5AC49A2-94F2-42BD-F434-2604812C897D} - C:\WINDOWS\system32\hdxjd4g.dll (file missing)
    O4 - HKUS\S-1-5-18\..\Run: [userinit] C:\WINDOWS\system32\ntos.exe (User 'SYSTEM')
    O4 - HKUS\S-1-5-18\..\Run: [Hhjg5jfd93dftdf] C:\WINDOWS\TEMP\winlagon.exe (User 'SYSTEM')
    O4 - HKUS\S-1-5-18\..\Run: [HJdfke9kfdf] C:\WINDOWS\TEMP\csrssc.exe (User 'SYSTEM')
    O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\SYSTEM32\WinCtrl32.dll
    O20 - Winlogon Notify: WinNt64 - C:\WINDOWS\SYSTEM32\WinNt64.dll
    O22 - SharedTaskScheduler: Hkjr94jdfdgj - {B5AC49A2-94F2-42BD-F434-2604812C897D} - C:\WINDOWS\system32\hdxjd4g.dll (file missing)
    Перегрузитесь и сделайте логи начиная от п.10 правил.

  4. #3
    Junior Member Репутация
    Регистрация
    13.06.2008
    Сообщений
    23
    Вес репутации
    35
    вот пунт 10
    Последний раз редактировалось Yeliseevs; 17.06.2008 в 14:36.

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3000
    Отключите ПК от сети.
    Отключите Антивирус.
    Отключите системное востановление.
    Выполните скрипт:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     TerminateProcessByName('c:\tmp\winagxy.exe');
     TerminateProcessByName('c:\tmp\winmmaynj.exe');
     TerminateProcessByName('c:\tmp\winaipja.exe');
     DeleteService('Google Online Services');
     DeleteService('Schedule');
     DeleteService('aic32p');
     DeleteService('Winin40');
     DeleteService('tcpsr');
     DeleteService('Kqv48');
     DeleteService('Glq27');
     DelBHO('{B5AC49A2-94F2-42BD-F434-2604812C897D}');
     QuarantineFile('C:\TMP\winagxy.exe','');
     QuarantineFile('C:\TMP\winaipja.exe','');
     QuarantineFile('C:\TMP\winmmaynj.exe','');
     QuarantineFile('C:\WINDOWS\system32\WinNt64.dll','');
     QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll','');
     QuarantineFile('C:\WINDOWS\system32\Drivers\Glq27.sys','');
     QuarantineFile('C:\WINDOWS\system32\Drivers\Kqv48.sys','');
     QuarantineFile('C:\Documents and Settings\BOSS\ie_updates3r.exe','');
     QuarantineFile('C:\WINDOWS\system32\drivers\sssjpq.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Winin40.sys','');
     QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Kqv48.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Glq27.sys','');
     QuarantineFile('C:\Documents and Settings\LocalService\svchost.exe','');
     QuarantineFile('C:\WINDOWS\TEMP\csrssc.exe','');
     QuarantineFile('C:\WINDOWS\TEMP\winlagon.exe','');
     QuarantineFile('C:\WINDOWS\system32\drivers\services.exe','');
     QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
     QuarantineFile('WinCtrl32.dll','');
     QuarantineFile('WinNt64.dll','');
     QuarantineFile('C:\WINDOWS\system32\hdxjd4g.dll','');
     QuarantineFile('Dkt58.sys','');
     QuarantineFile('C:\WINDOWS\system32\Drivers\Winin40.sys','');
     QuarantineFile('c:\tmp\winmmaynj.exe','');
     DeleteFile('c:\tmp\winmmaynj.exe');
     DeleteFile('C:\WINDOWS\system32\Drivers\Winin40.sys');
     DeleteFile('Dkt58.sys');
     DeleteFile('C:\WINDOWS\system32\hdxjd4g.dll');
     DeleteFile('WinNt64.dll');
     DeleteFile('WinCtrl32.dll');
     DeleteFile('C:\WINDOWS\system32\ntos.exe');
     DeleteFile('C:\WINDOWS\system32\drivers\services.exe');
     DeleteFile('C:\WINDOWS\TEMP\winlagon.exe');
     DeleteFile('C:\WINDOWS\TEMP\csrssc.exe');
     DeleteFile('C:\Documents and Settings\LocalService\svchost.exe');
     DeleteFile('C:\WINDOWS\System32\Drivers\Glq27.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Kqv48.sys');
     DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winin40.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\sssjpq.sys');
     DeleteFile('C:\Documents and Settings\BOSS\ie_updates3r.exe');
     DeleteFile('C:\WINDOWS\system32\Drivers\Kqv48.sys');
     DeleteFile('C:\WINDOWS\system32\Drivers\Glq27.sys');
     DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
     DeleteFile('C:\WINDOWS\system32\WinNt64.dll');
     DeleteFile('C:\TMP\winmmaynj.exe');
     DeleteFile('C:\TMP\winaipja.exe');
     DeleteFile('C:\TMP\winagxy.exe');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки:
    1. Очистите темп-папки и кэш проводников.
    2. Закачайте карантин по правилам.
    3. Повторите логи.

  6. #5
    Junior Member Репутация
    Регистрация
    13.06.2008
    Сообщений
    23
    Вес репутации
    35
    Пункт 3 в AVZ не выполняется-уходит в перезагрузку
    Вот лог после скрипта
    Карантин прислал
    Левых файлов опять полно в диспетчере. Правда сразу после загрузки системы их нет. Появляются позже.
    Последний раз редактировалось Yeliseevs; 17.06.2008 в 14:36.

  7. #6
    Banned Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    18.11.2007
    Сообщений
    3,293
    Вес репутации
    0
    Скачайте IceSword.

    Запустите программу.
    Внизу слева выберите меню File.
    Появится аналог проводника. Найдите в нем 'C:\WINDOWS\system32\WinNt64.dll, 'C:\WINDOWS\system32\Drivers\Glq27.sys, 'C:\WINDOWS\system32\Drivers\Dkt58.sys, C:\WINDOWS\system32\Drivers\Kqv48.sys, C:\WINDOWS\system32\drivers\sssjpq.sys, C:\WINDOWS\System32\drivers\tcpsr.sys.
    Нажмите по нему правой кнопкой мыши и выберите force delete.
    На запрос потверждения ответьте "да".
    Без перезагрузки

    1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteFile('C:\WINDOWS\system32\WinNt64.dll');
     DeleteFile('C:\WINDOWS\system32\Drivers\Glq27.sys');
     DeleteFile('C:\WINDOWS\system32\Drivers\Dkt58.sys');
     DeleteFile('C:\WINDOWS\system32\Drivers\Kqv48.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\sssjpq.sys');
     DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
     DeleteFile('WinNt64.dll');
     DeleteFile('Dkt58.sys');
    BC_ImportDeletedList;
    BC_DeleteSvc('tcpsr');
    BC_DeleteSvc('Kqv48');
    BC_DeleteSvc('Glq27');
    BC_DeleteSvc('avipbb');
    BC_DeleteSvc('aic32p');
    BC_DeleteSvc('Dkt58');
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.

    Повторите логи.

  8. #7
    Junior Member Репутация
    Регистрация
    13.06.2008
    Сообщений
    23
    Вес репутации
    35
    C:\WINDOWS\system32\drivers\sssjpq.sys, C:\WINDOWS\System32\drivers\tcpsr.sys - этих файлов не было, остальные удалил
    Вот лог после скрипта
    И появляется после заргузки - Explorer.exe - No disk и лезет на диск А:
    Последний раз редактировалось Yeliseevs; 17.06.2008 в 14:36.

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3000
    Запустите АВЗ, Файл/Мастер поиска и устранения проблем/Все проблемы .. Запуск.
    Выполните скрипт
    Код:
    begin
    ExecuteRepair(5);
    ExecuteRepair(8);
    end.
    Перегрузитесь и посвторите 2 лога начиная от п.10 правил.

  10. #9
    Junior Member Репутация
    Регистрация
    13.06.2008
    Сообщений
    23
    Вес репутации
    35
    Вот
    Последний раз редактировалось Yeliseevs; 17.06.2008 в 14:36.

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3000
    Отключите ПК от сети.
    Отключите Антивирус.
    Отключите системное востановление.
    Пофиксите:
    Код:
    O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\
    O20 - Winlogon Notify: WinNt64 - WinNt64.dll (file missing)
    Выполните скрипт:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteService('aic32p');
     TerminateProcessByName('c:\tmp\winnijkmo.exe');
     TerminateProcessByName('c:\tmp\winiydki.exe');
     QuarantineFile('c:\tmp\winiydki.exe','');
     QuarantineFile('c:\tmp\winnijkmo.exe','');
     QuarantineFile('WinNt64.dll','');
     QuarantineFile('C:\WINDOWS\system32\drivers\sssjpq.sys','');
     DeleteFile('C:\WINDOWS\system32\drivers\sssjpq.sys');
     DeleteFile('WinNt64.dll');
     DeleteFile('c:\tmp\winiydki.exe');
     DeleteFile('c:\tmp\winnijkmo.exe');
    BC_ImportDeletedList;
    ExecuteSysClean;
    ExecuteRepair(5);
    ExecuteRepair(7);
    ExecuteRepair(8);
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки:
    1.Закачайте карантин по правилам.
    2. Повторите логи.

  12. #11
    Junior Member Репутация
    Регистрация
    13.06.2008
    Сообщений
    23
    Вес репутации
    35
    Млин, прибил с дуру вручную 'c:\tmp\winnijkmo.exe' и 'c:\tmp\winiydki.exe'
    не успев прочитать сообщение
    Теперь появился в c:\tmp один файл - winucey.exe.
    Я так понимаю скрипт под него нужно поправить

  13. #12
    Junior Member Репутация
    Регистрация
    13.06.2008
    Сообщений
    23
    Вес репутации
    35
    вот ещо раз лог
    Последний раз редактировалось Yeliseevs; 17.06.2008 в 14:36.

  14. #13
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3000
    Удалите этим: http://virusinfo.info/showthread.php?t=17228 2 файла
    Код:
    c:\tmp\winucey.exe
    C:\WINDOWS\system32\drivers\sssjpq.sys
    Выберите опцию force delete.
    Потом повторите логи.
    Последний раз редактировалось Rene-gad; 13.06.2008 в 15:35. Причина: Добавлено

  15. #14
    Junior Member Репутация
    Регистрация
    13.06.2008
    Сообщений
    23
    Вес репутации
    35
    C:\WINDOWS\system32\drivers\sssjpq.sys-этого файла не было
    c:\tmp\winucey.exe-удалил
    машину не перегружал-вот лог
    Последний раз редактировалось Yeliseevs; 17.06.2008 в 14:36.

  16. #15
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3000
    Цитата Сообщение от Yeliseevs Посмотреть сообщение
    C:\WINDOWS\system32\drivers\sssjpq.sys-этого файла не было
    -был и есть.
    c:\tmp\winucey.exe-удалил
    - не удалился
    Скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     TerminateProcessByName('c:\tmp\winucey.exe');
     DeleteService('aic32p');
     DeleteFile('c:\tmp\winucey.exe');
     DeleteFile('C:\WINDOWS\system32\drivers\sssjpq.sys');
     BC_DeleteFile('C:\WINDOWS\system32\drivers\sssjpq.sys');
     BC_DeleteFile('c:\tmp\winucey.exe');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Логи повторите.

  17. #16
    Junior Member Репутация
    Регистрация
    13.06.2008
    Сообщений
    23
    Вес репутации
    35
    Запустил скрипт-вот логи.
    Клянусь не было файла-все глаза сломал пока высматривал.
    Я понимаю что должен быть , но нету .
    И ещо если без всунутой флешки загружатся то появляется сообщение-Explorer.exe - No disk и чета от дисковаода хочет.
    Если с флешкой то сообщения нету. Я так понимаю на флешке чтото есть плохое-как с ней быть?
    Последний раз редактировалось Yeliseevs; 17.06.2008 в 14:36.

  18. #17
    Junior Member Репутация
    Регистрация
    13.06.2008
    Сообщений
    23
    Вес репутации
    35
    Млин пока писал-опять говно ето появилось- winatxtl.exe и wingxba.exe и winnjhpoq.exe в c:\tmp и в диспетчере.
    Рабочий день уже заканчивается-пора домой. Если не сложно помогите в понедельник добить этот комп
    Спасибо всем огромное

  19. #18
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для rubin
    Регистрация
    15.10.2007
    Адрес
    Казань
    Сообщений
    2,934
    Вес репутации
    541
    Выполните
    Код:
    begin
    RegKeyDel('HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\','Winns51');
    RegKeyDel('HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\','sssjpq');
    DeleteFile('C:\Program Files\Internet Explorer\SETUPAPI.dll');
    BC_DeleteFile('C:\Program Files\Internet Explorer\SETUPAPI.dll');
    BC_DeleteSvc('Winns51');
    BC_DeleteSvc('sssjpq');
    BC_Activate;
    RebootWindows(true);
    end.
    Затем
    Код:
    begin
     ClearQuarantine;
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     QuarantineFile('C:\WINDOWS\system32\userinit.exe','');
     SysCleanAddFile('C:\WINDOWS\System32\Drivers\Winns51.sys');
     SysCleanAddFile('C:\WINDOWS\system32\drivers\sssjpq.sys');
     DeleteFileMask('C:\WINDOWS\Temp\', '*.exe', false);
     BC_ImportQuarantineList;
     BC_Activate;
     ExecuteSysClean;
     RebootWindows(true);
    end.
    Новый карантин пришлите
    Последний раз редактировалось Rene-gad; 13.06.2008 в 17:46. Причина: Спасибо kps :)

  20. #19
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3000
    По совету vaber: попробуйте скачать по новой и запустить CureIt.

  21. #20
    Junior Member Репутация
    Регистрация
    13.06.2008
    Сообщений
    23
    Вес репутации
    35
    есть карантин

    Добавлено через 21 минуту

    какая то ерунда-CRC у avz был изменен.. я взял из zipa экзешник переписал- тут бах в тотал командере в командой строке testtesttest раз двадцать написалось... шо за фигня блин....
    Последний раз редактировалось Yeliseevs; 16.06.2008 в 01:11. Причина: Добавлено

  • Уважаемый(ая) Yeliseevs, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. нужна помощь!
      От sahalinskii в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 16.08.2010, 10:27
    2. нужна помощь
      От procopchuk в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 08.08.2010, 03:17
    3. Нужна помощь...
      От Владими в разделе Помогите!
      Ответов: 14
      Последнее сообщение: 25.07.2010, 17:21
    4. Очень нужна помощь
      От Legendneverdie в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 12.03.2009, 10:54
    5. Нужна помощь
      От xapuga в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 30.01.2009, 17:26

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00814 seconds with 16 queries