у меня то же самое что и у многих нынче
пугающая заставка и отключены вкладки настроек рабочего стола
у меня то же самое что и у многих нынче
пугающая заставка и отключены вкладки настроек рабочего стола
Последний раз редактировалось ELINC7; 11.06.2010 в 10:33.
выполните скрипт ...
пришлите карантин согласно приложения 3 правил ....Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\umczhwql.exe',''); QuarantineFile('C:\WINDOWS\system32\nkqrzy.dll',''); QuarantineFile('C:\WINDOWS\system32\KB_963491.exe',''); QuarantineFile('C:\WINDOWS\csrss.exe',''); QuarantineFile('C:\WINDOWS\Temp\startdrv.exe',''); DeleteService('PolicyAgentPolicyAgent'); QuarantineFile('C:\WINDOWS\system32\1033j.exe',''); QuarantineFile('C:\WINDOWS\system32\lphcg8lj0ens5.exe',''); QuarantineFile('c:\windows\system32\lphcg8lj0ens5.exe',''); DeleteFile('c:\windows\system32\lphcg8lj0ens5.exe'); DeleteFile('C:\WINDOWS\system32\lphcg8lj0ens5.exe'); DeleteFile('C:\WINDOWS\system32\1033j.exe'); DeleteFile('C:\WINDOWS\Temp\startdrv.exe'); DeleteFile('C:\WINDOWS\csrss.exe'); DeleteFile('C:\WINDOWS\system32\KB_963491.exe'); DeleteFile('C:\WINDOWS\system32\blphcg8lj0ens5.scr'); DeleteFile('C:\WINDOWS\system32\nkqrzy.dll'); DeleteFile('C:\WINDOWS\system32\umczhwql.exe'); DeleteFile('KB92620748.exe'); BC_ImportDeletedList; ExecuteSysClean; ExecuteRepair(5); ExecuteRepair(6); ExecuteRepair(8); BC_Activate; RebootWindows(true); end.
повторите логи ...
спасибо, угрожающая заставка пропала.
карантин отправила по ссылке
логи прилагаю
Последний раз редактировалось ELINC7; 11.06.2010 в 10:33.
напоминаю о себе
плиз проверьте все-ли в порядке
выполните скрипт ...
hijackthis.log повторите ....Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('C:\Documents and Settings\All Users\Документы\Settings\partnership.dll'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; end.
После выполнения скрипта компьютер завис и при перезагрузке высветилось уведомление от DrWeb что файл C:/WINDOWX/System/drivers/tcpsr.sys заражен вирусом Trojan.Siggen.66
Лог hijackthis.log уже после перезагрузки
Последний раз редактировалось ELINC7; 11.06.2010 в 10:33.
прилагаю логи
Последний раз редактировалось ELINC7; 11.06.2010 в 10:33.
Скачайте IceSword , поищите и скопируйте файлы:
Скопированные с помощью IceSword файлы сохраните в карантине (Приложение 2 правил).Код:C:\WINDOWS\system32\Drivers\Xca43.sys C:\WINDOWS\system32\ksys.sys
Потом удалите их с помощью force delete
Если Вы какие-то файлы не обнаружите - переходите к следующему шагу.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное востановление.
-Пофиксите
- Выполните скриптКод:O20 - Winlogon Notify: partnershipreg - C:\WINDOWS\
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteService('qqd.sys'); DeleteService('NDnet1'); QuarantineFile('C:\qqd.sys',''); QuarantineFile('C:\WINDOWS\system32\ksys.sys',''); QuarantineFile('C:\WINDOWS\system32\Drivers\Xca43.sys',''); QuarantineFile('C:\WINDOWS\system32\Drivers\tcpsr.sys',''); DeleteFile('C:\WINDOWS\system32\Drivers\tcpsr.sys'); DeleteFile('C:\WINDOWS\system32\Drivers\Xca43.sys'); DeleteFile('C:\WINDOWS\system32\ksys.sys'); DeleteFile('C:\qqd.sys'); BC_ImportAll; ExecuteSysClean; BC_DeleteSvc('qqd.sys'); BC_DeleteSvc('tcpsr'); BC_DeleteSvc('NDnet1'); BC_Activate; RebootWindows(true); end.
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
Через IceSword файл не был обнаружен, поэтому дейстовала по второму варианту.
После выполнения скрипта и перезагрузки снова было уведомление от DrWeb что файл C:/WINDOWX/System/drivers/tcpsr.sys заражен вирусом Trojan.Siggen.66.
Последний раз редактировалось ELINC7; 11.06.2010 в 10:33.
1. Скачать архив: http://freenet-homepage.de/rene-gad/123.zip
2. Распаковать не в темп-папку, напр. C:\123
3. Файл 123.pif - переименованный Avenger - запустить
4. Подтвердить все, откроется окно.
5. Поставить галку Scan for Rootkits
6. Скопировать скрипт в окно:
7. Закрыть все окна кроме AvengerКод:files to delete: C:\WINDOWS\System32\drivers\tcpsr.sys C:\WINDOWS\System32\Drivers\Xca43.sys
8. Запустить программу, все сообщения подтвердить
9. ПК перегрузится. После перезагрузки могут появиться сообщения об ошибках чтения драйвов - проигнорировать.
10. Откроется окошко с логом. Его сохранить и прикрепить к сообщению.
11. Повторить логи начиная от п.10 правил.
Все сделала, файлы прилагаю.
При перезагрузке DrWeb не ругался.
Зато в меню "Пуск" у меня появилось "Недавние документы" , с момента установки Windows "Недавних документов" не было и сисетмный админ не мог их установить. Вам за это СПАСИБО
Последний раз редактировалось ELINC7; 11.06.2010 в 10:33.
ооочень странно что айсворд не видит ....
скачать ...
- отключить антивирус
- оключиться от интернета
tools - wipe/copy file - browse и находим файл C:\WINDOWS\system32\drivers\Xca43.sys - direct file content wiping - do operation - закрыть программу..
- перезагрузится ...
выполните скрипт ...
повторите логи ...Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteService('tcpsr'); DeleteService('Xca43'); DeleteFile('C:\WINDOWS\System32\Drivers\Xca43.sys'); DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
повторяю логи.
при перезагрузке ничего подозрительного не выявлено
Последний раз редактировалось ELINC7; 11.06.2010 в 10:33.
Вам эти записи знакомы? Если нет -пофиксите
Больше плохого не видно.Код:O16 - DPF: {093500E9-F79F-4C52-A9B5-D8C7E4B3023E} (ParallelGraphics Installer Class) - http://www.outline3d.com/main/installer.cab?key=136e O16 - DPF: {6CE31B8D-8340-4DBD-B78E-BF59620924DC} (Quest3DCtlr2 Class) - http://www.virtual-yar.ru/map/quest3dactivex2.cab O16 - DPF: {810B649C-CEAE-4AC9-BF26-81341B49E913} (ParallelGraphics PlanEditor Control) - http://www.outline3d.com/main/pecontrol_new5.cab?key=433a O16 - DPF: {86A88967-7A20-11D2-8EDA-00600818EDB1} (ParallelGraphics Cortona Control) - http://www.outline3d.com/main/cortvrml42.cab?key=abd9
Сервис Пак 3 нужно поставить.
Статистика проведенного лечения:
- Получено карантинов: 3
- Обработано файлов: 11
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\system32\\drivers\\tcpsr.sys - Trojan.Win32.Agent.mwo (DrWEB: Trojan.Siggen.66)
- c:\\windows\\system32\\lphcg8lj0ens5.exe - Trojan-Downloader.Win32.Small.abew (DrWEB: Trojan.Packed.600)
Уважаемый(ая) ELINC7, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.