Здравствуйте, nod32 находил Троянов – писал, что успешно удалял их, но впоследствии они вновь вылазили. В internet explorer постоянно пропадали картинки.
Здравствуйте, nod32 находил Троянов – писал, что успешно удалял их, но впоследствии они вновь вылазили. В internet explorer постоянно пропадали картинки.
Скачайте IceSword , поищите и удалите через опцию force delete файл:
ОтключитеКод:C:\WINDOWS.0\System32\drivers\Winxd38.sys C:\WINDOWS.0\system32\msvcrt64.dll
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное востановление.
-Пофиксите
- Выполните скриптКод:R3 - Default URLSearchHook is missing F2 - REG:system.ini: UserInit=C:\WINDOWS.0\system32\userinit.exe,C:\WINDOWS.0\system32\ntos.exe, O2 - BHO: C:\WINDOWS.0\system32\jdgf8edfsde.dll - {C5AF49A2-94F3-42BD-F434-3604812C897D} - C:\WINDOWS.0\system32\jdgf8edfsde.dll O4 - HKLM\..\Run: [C:\WINDOWS.0\system32\kdxgh.exe] C:\WINDOWS.0\system32\kdxgh.exe O4 - HKCU\..\Run: [HJdfke9kfdf] C:\DOCUME~1\ADMINI~1.TES\LOCALS~1\Temp\csrssc.exe O4 - HKUS\S-1-5-19\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'LOCAL SERVICE') O4 - HKUS\S-1-5-20\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'NETWORK SERVICE') O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1 O17 - HKLM\System\CCS\Services\Tcpip\..\{27198140-7043-4E95-8061-7CBA63195EE5}: NameServer = 85.255.115.20,85.255.112.143 O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.115.20 85.255.112.143 O17 - HKLM\System\CS1\Services\Tcpip\..\{27198140-7043-4E95-8061-7CBA63195EE5}: NameServer = 85.255.115.20,85.255.112.143 O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.115.20 85.255.112.143 O20 - AppInit_DLLs: C:\WINDOWS.0\system32\svchh8g.dll O20 - Winlogon Notify: fanxctrl - fanxctrl.dll (file missing) O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS.0\ O21 - SSODL: msvcrt64.dll - {6677AB67-90B5-4C59-97ED-A99A8E38737F} - msvcrt64 .dll (file missing) O22 - SharedTaskScheduler: uj38ehfh7efefefds98jkefn - {C5AF49A2-94F3-42BD-F434-3604812C897D} - C:\WINDOWS.0\system32\jdgf8edfsde.dll
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DelBHO('{C5AF49A2-94F3-42BD-F434-3604812C897D}'); DeleteService('Google Online Services'); DeleteService('microsoft internet service'); DeleteService('25e1bb0f'); DeleteService('fanxctrld'); DeleteService('glok+4f0b-f7'); DeleteService('tcpsr'); DeleteService('Kpt26'); DeleteService('Winxd38'); DeleteService('Winwd62'); DeleteService('winvb16'); DeleteService('winsx73'); DeleteService('Winsx27'); DeleteService('winrw05'); DeleteService('winqv16'); DeleteService('winpu05'); DeleteService('winjp16'); DeleteService('Wingm62'); DeleteService('winfk84'); DeleteService('windi73'); QuarantineFile('c:\windows.0\system32\msservice.exe',''); QuarantineFile('C:\Documents and Settings\Administrator.TESTED\ie_updates3r.exe',''); QuarantineFile('C:\WINDOWS.0\System32\drivers\25e1bb0f.sys',''); QuarantineFile('C:\WINDOWS.0\system32\fanxctrld.sys',''); QuarantineFile('C:\WINDOWS.0\glok+4f0b-f7.sys',''); QuarantineFile('C:\WINDOWS.0\System32\Drivers\Kpt26.sys',''); QuarantineFile('C:\WINDOWS.0\System32\drivers\tcpsr.sys',''); QuarantineFile('C:\WINDOWS.0\System32\Drivers\Windi73.sys',''); QuarantineFile('C:\WINDOWS.0\System32\Drivers\Winfk84.sys',''); QuarantineFile('C:\WINDOWS.0\System32\drivers\Wingm62.sys',''); QuarantineFile('C:\WINDOWS.0\System32\drivers\Winjp16.sys',''); QuarantineFile('C:\WINDOWS.0\System32\drivers\Winpu05.sys',''); QuarantineFile('C:\WINDOWS.0\System32\Drivers\Winqv16.sys',''); QuarantineFile('C:\WINDOWS.0\System32\drivers\Winrw05.sys',''); QuarantineFile('C:\WINDOWS.0\System32\drivers\Winsx27.sys',''); QuarantineFile('C:\WINDOWS.0\System32\Drivers\Winsx73.sys',''); QuarantineFile('C:\WINDOWS.0\System32\drivers\Winvb16.sys',''); QuarantineFile('C:\WINDOWS.0\System32\drivers\Winwd62.sys',''); QuarantineFile('C:\WINDOWS.0\System32\drivers\Winxd38.sys',''); QuarantineFile('C:\DOCUME~1\ADMINI~1.TES\LOCALS~1\Temp\csrssc.exe',''); QuarantineFile('C:\WINDOWS.0\TEMP\csrssc.exe',''); QuarantineFile('C:\WINDOWS.0\system32\kdxgh.exe',''); QuarantineFile('C:\WINDOWS.0\system32\ntos.exe',''); QuarantineFile('C:\WINDOWS.0\system32\svchh8g.dll',''); QuarantineFile('C:\WINDOWS.0\system32\fanxctrl.dll',''); QuarantineFile('C:\WINDOWS.0\system32\msvcrt64.dll',''); QuarantineFile('C:\WINDOWS.0\system32\jdgf8edfsde.dll',''); DeleteFile('C:\WINDOWS.0\system32\jdgf8edfsde.dll'); DeleteFile('C:\WINDOWS.0\system32\msvcrt64.dll'); DeleteFile('C:\WINDOWS.0\system32\fanxctrl.dll'); DeleteFile('C:\WINDOWS.0\system32\svchh8g.dll'); DeleteFile('C:\WINDOWS.0\system32\ntos.exe'); DeleteFile('C:\WINDOWS.0\system32\kdxgh.exe'); DeleteFile('C:\WINDOWS.0\TEMP\csrssc.exe'); DeleteFile('C:\DOCUME~1\ADMINI~1.TES\LOCALS~1\Temp\csrssc.exe'); DeleteFile('C:\WINDOWS.0\System32\drivers\Winxd38.sys'); DeleteFile('C:\WINDOWS.0\System32\drivers\Winwd62.sys'); DeleteFile('C:\WINDOWS.0\System32\drivers\Winvb16.sys'); DeleteFile('C:\WINDOWS.0\System32\Drivers\Winsx73.sys'); DeleteFile('C:\WINDOWS.0\System32\drivers\Winsx27.sys'); DeleteFile('C:\WINDOWS.0\System32\drivers\Winrw05.sys'); DeleteFile('C:\WINDOWS.0\System32\Drivers\Winqv16.sys'); DeleteFile('C:\WINDOWS.0\System32\drivers\Winpu05.sys'); DeleteFile('C:\WINDOWS.0\System32\drivers\Winjp16.sys'); DeleteFile('C:\WINDOWS.0\System32\drivers\Wingm62.sys'); DeleteFile('C:\WINDOWS.0\System32\Drivers\Winfk84.sys'); DeleteFile('C:\WINDOWS.0\System32\Drivers\Windi73.sys'); DeleteFile('C:\WINDOWS.0\System32\drivers\tcpsr.sys'); DeleteFile('C:\WINDOWS.0\System32\Drivers\Kpt26.sys'); DeleteFile('C:\WINDOWS.0\glok+4f0b-f7.sys'); DeleteFile('C:\WINDOWS.0\system32\fanxctrld.sys'); DeleteFile('C:\WINDOWS.0\System32\drivers\25e1bb0f.sys'); DeleteFile('C:\Documents and Settings\Administrator.TESTED\ie_updates3r.exe'); DeleteFile('c:\windows.0\system32\msservice.exe'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по красной ссылке вверху темы.
- Прикрепите логи к новому сообщению.
icesword не находит тех файлов которые Вы написали: Winxd38.sys - такого вообще там нет, а вместо msvcrt64.dll - есть только msvcrt.dll, mscvrt20.dll и mscvrt40.dll
Добавлено через 17 минут
Если не найдены те файлы, пофиксить дальше или нет
Последний раз редактировалось Dengal; 28.07.2008 в 13:18. Причина: Добавлено
Выполняйте дальше, посмотрим на результат. Хуже быть не должно.
Прошу прощения- совсем пропал инетернет.
При "пофиксите" несколько раз выскакмвала табличка "редактирование реестра запрещено администратором системы".
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Повторите логи...Код:begin ClearQuarantine; SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteService('winsx73'); DeleteService('Kpt26'); DeleteFile('C:\WINDOWS.0\System32\Drivers\Kpt26.sys'); DeleteFile('C:\WINDOWS.0\System32\Drivers\Winsx73.sys'); DeleteFile('C:\WINDOWS.0\system32\kdxgh.exe'); DeleteFile('kdxgh.exe'); BC_ImportDeletedList; ExecuteSysClean; BC_DeleteSvc('winsx73 '); BC_DeleteSvc('Kpt26 '); BC_Activate; ExecuteRepair(6); ExecuteRepair(8); RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1); RebootWindows(true); end.
Добавлено через 5 минут
Не понял,зачем писать в новой теме?
Сейчас прийдет злобный модератор и даст вам по ушам
Он уже тут
Последний раз редактировалось Гриша; 28.07.2008 в 23:29. Причина: Добавлено
Все сделал, логи здесь
выполните скрипт ...
пришлите карантин согласно приложения 3 правил ...Код:begin ClearQuarantine; SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteService('winsx73'); QuarantineFile('C:\WINDOWS.0\System32\Drivers\Winsx73.sys',''); DeleteService('Kpt26'); QuarantineFile('C:\WINDOWS.0\System32\Drivers\Kpt26.sys',''); QuarantineFile('C:\WINDOWS.0\0\system32\ntoskrnl.exe',''); DeleteFile('C:\WINDOWS.0\System32\Drivers\Kpt26.sys'); DeleteFile('C:\WINDOWS.0\System32\Drivers\Winsx73.sys'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
повторите логи ...
Карантин прислал, логи сделал
скрипт выполнялся ? какрантин пришел не тот , зловреды все на местах ...
выполните пункт 2 правил ... затем дейчтвия из поста 8 заново ...
Папка карантин пуста, скрипты "выполнены успешно"
логи сделал
IceSword , поищите и удалите через опцию force delete файл:
ОтключитеКод:C:\WINDOWS.0\System32\Drivers\Kpt26.sys C:\WINDOWS.0\System32\Drivers\Winsx73.sys
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное востановление.
- Выполните скрипт
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteService('winsx73'); DeleteService('Kpt26'); QuarantineFile('C:\WINDOWS.0\System32\Drivers\Kpt26.sys',''); QuarantineFile('C:\WINDOWS.0\System32\Drivers\Winsx73.sys',''); DeleteFile('C:\WINDOWS.0\System32\Drivers\Winsx73.sys'); DeleteFile('C:\WINDOWS.0\System32\Drivers\Kpt26.sys'); BC_ImportDeletedList; ExecuteSysClean; BC_DeleteSvc('winsx73'); BC_DeleteSvc('Kpt26'); BC_Activate; RebootWindows(true); end.
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по красной ссылке вверху темы.
- Прикрепите логи к новому сообщению.[/QUOTE]
Icesword не находит этих файлов, как и в прошлый раз,
такие же скрипты я сделал только что, нужно их еще раз делать?
Скрипт сделал
Вот теперь чисто. Ставьте Сервис Пак 3.
в логах чисто , но что -то мне подсказывает что у вас система подтормаживает
нужно срочно ставить сп3 ....
а где его взять не подскажете?
Добавлено через 4 минуты
извиняюсь, теперь я торможу
огромное спасибо Вам за помощь!!
Последний раз редактировалось Dengal; 29.07.2008 в 20:26. Причина: Добавлено
Все почистил, поставил Касперского, установил SP3 - компьютер теперь тормозит со страшной силой. Из-за чего это может быть?
Все что угодно Скан Касперским провели? Логи давайте. Если Вы сначала Касперского поставили и при установке СП3 его не отключили - то проблемы запрограммированы.
Джаву обновили?
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
Уважаемый(ая) Dengal, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.