Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 21.

посмотрите пожалуйста логи, похоже что-то осталось (заявка № 29979)

  1. #1
    Junior Member Репутация
    Регистрация
    10.12.2004
    Сообщений
    16
    Вес репутации
    71

    посмотрите пожалуйста логи, похоже что-то осталось

    Похоже еще что-то осталось после лечения, ноутбук не мой, а знакомой. Нужно сделать. Помогите пожалуйста.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Закройте все открытые приложения, кроме АVZ и Internet Explorer.
    Отключите
    - ПК от интернета/локалки
    - Антивирус и Файрвол.
    - Системное восстановление.

    - Выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DelBHO('{92780B25-18CC-41C8-B9BE-3C9C571A8263}');
     DelBHO('{EF8820EB-F11E-4DD6-BC6C-D99084691C18}');
     DelBHO('{62249D05-FA0B-4FC9-AA63-64873398E4BF}');
     QuarantineFile('C:\WINDOWS\system32\svchosts.exe','');
     QuarantineFile('C:\WINDOWS\system32\bojzwjvnon.exe','');
     QuarantineFile('C:\WINDOWS\System32\mdm.exe','');
     QuarantineFile('C:\WINDOWS\System32\nnnmjgFx.dll','');
     QuarantineFile('C:\WINDOWS\System32\mlJBQIyv.dll','');
     DeleteFile('C:\WINDOWS\System32\mlJBQIyv.dll');
     DeleteFile('C:\WINDOWS\System32\nnnmjgFx.dll');
     DeleteFile('C:\WINDOWS\system32\bojzwjvnon.exe');
     DeleteFile('C:\WINDOWS\system32\svchosts.exe');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки:
    - Очистите темп-папки, кэш проводников и корзину.
    - Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
    - Сделайте повторные логи по правилам.
    - Включите Антвирус и Файрволл
    - Подключите ПК к интернету/локалке
    - Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
    - Прикрепите логи к новому сообщению.

  4. #3
    Junior Member Репутация
    Регистрация
    10.12.2004
    Сообщений
    16
    Вес репутации
    71
    Спасибо. Все сделал. Новые логи и карантин выслал...
    Вложения Вложения

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Пофиксите в HijackThis:
    Код:
    O2 - BHO: (no name) - {8246E896-64FA-4819-BFD0-8A7AB6A3E213} - C:\WINDOWS\System32\nnnmjgFx.dll (file missing)
    O2 - BHO: (no name) - {EF8820EB-F11E-4DD6-BC6C-D99084691C18} - C:\WINDOWS\System32\mlJBQIyv.dll (file missing)
    O4 - HKLM\..\RunServices: [Windows Services Aganters] bojzwjvnon.exe
    O4 - HKLM\..\RunServices: [mmsass] svchosts.exe
    O20 - Winlogon Notify: mlJBQIyv - mlJBQIyv.dll (file missing)
    Перезагрузите компьютер и повторите лог HijackThis.

    Какие-то проблемы остались?
    I am not young enough to know everything...

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Закройте все открытые приложения, кроме АVZ и Internet Explorer.
    Отключите
    - ПК от интернета/локалки
    - Антивирус и Файрвол.
    - Системное восстановление.
    -Пофиксите
    Код:
    O4 - HKLM\..\RunServices: [Windows Services Aganters] bojzwjvnon.exe
    O4 - HKLM\..\RunServices: [mmsass] svchosts.exe
    O20 - Winlogon Notify: mlJBQIyv - mlJBQIyv.dll (file missing)
    - Выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DelBHO('{07F904EF-FD1E-4AEE-99D7-8BCF42E067BD}');
     DelBHO('{92780B25-18CC-41C8-B9BE-3C9C571A8263}');
     DelBHO('{EF8820EB-F11E-4DD6-BC6C-D99084691C18}');
     DelBHO('{8246E896-64FA-4819-BFD0-8A7AB6A3E213}');
     QuarantineFile('C:\WINDOWS\System32\mlJBQIyv.dll','');
     QuarantineFile('C:\WINDOWS\System32\nnnmjgFx.dll','');
     QuarantineFile('C:\WINDOWS\System32\mdm.exe','');
     DeleteFile('C:\WINDOWS\System32\mdm.exe');
     DeleteFile('C:\WINDOWS\System32\nnnmjgFx.dll');
     DeleteFile('C:\WINDOWS\System32\mlJBQIyv.dll');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки:

    1. Запуститесь с дистрибутива.
    2. При загрузке давите на клавишу R. Попадете в косоль восстановления.
    3. На приглашение введите строку:
    Код:
    expand X:\i386\mdm.ex_ C:\WINDOWS\System32\
    Вместо Х вставьте букву CD-драйва.
    4. Выйдите из консоли восстановления комадой exit + клавиша ВВОД.
    5. Загрузитесь нормально.

    - Очистите темп-папки, кэш проводников и корзину.
    - Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
    - Сделайте повторные логи по правилам.
    - Включите Антвирус и Файрволл
    - Подключите ПК к интернету/локалке
    - Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
    - Прикрепите логи к новому сообщению.

  7. #6
    Junior Member Репутация
    Регистрация
    10.12.2004
    Сообщений
    16
    Вес репутации
    71
    Спасибо. Все сделал. Только не могу выйти с него в интернет через локальную сеть - после запуска IE и ввода адреса выскакивает "Подключение удаленного доступа" (MMS Ethernet(PPPoE)), а через сетку не хочет... в сетевом поключении параметры прописаны. Подскажите, пожалуйста, что я делаю не так, в чем проблема.
    Вложения Вложения

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    - Выполните скрипт
    Код:
    begin
    executerepair(14);
    RebootWindows(true);
    end.
    После перезагрузки проинформируйте о состоянии ПК и комплект логов - в студию.

  9. #8
    Junior Member Репутация
    Регистрация
    10.12.2004
    Сообщений
    16
    Вес репутации
    71
    Извините, не видел сообщения #5 от Rene-gad. Сейчас все сделаю. Спасибо.


    Код:
    expand X:\i386\mdm.ex_ C:\WINDOWS\System32\

    это не сделал... говорит "не найден файл или каталог" или "неправильно указан файл или каталог" - точно не помню.

    логи сейчас делаю...
    Последний раз редактировалось VladMS; 11.09.2008 в 16:40.

  10. #9
    Junior Member Репутация
    Регистрация
    10.12.2004
    Сообщений
    16
    Вес репутации
    71
    Спасибо. Последние логи ...
    С интернетом проблема таже - описана в сообщении #6. Как исправить...
    Вложения Вложения

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Цитата Сообщение от VladMS Посмотреть сообщение
    С интернетом проблема таже - описана в сообщении #6. Как исправить...
    Скрипт из сообщения 7 запускали?
    Попробуйте еще WinsockFix: http://www.softpedia.com/progDownloa...oad-15337.html

    Добавлено через 1 минуту

    Цитата Сообщение от VladMS Посмотреть сообщение
    expand X:\i386\mdm.ex_ C:\WINDOWS\System32\
    Вы вместо Х букву сидюка подставили? Она м.б. не такая, как в нормальной системе.
    Последний раз редактировалось Rene-gad; 11.09.2008 в 17:37. Причина: Добавлено

  12. #11
    Junior Member Репутация
    Регистрация
    10.12.2004
    Сообщений
    16
    Вес репутации
    71
    Цитата Сообщение от Rene-gad Посмотреть сообщение
    Скрипт из сообщения 7 запускали?
    запускал

    Попробуйте еще WinsockFix: http://www.softpedia.com/progDownloa...oad-15337.html
    пофиксил

    Добавлено через 1 минуту

    Вы вместо Х букву сидюка подставили? Она м.б. не такая, как в нормальной системе
    подставил..., но такого файла в каталоге i386\mdm.ex_ почему-то нет

    проблемы с выходом в интернет через локалку остались...
    дома через "Подключение удаленного доступа" (MMS Ethernet(PPPoE)) все работает без проблем, а через локалку никак не хочет... Как исправить?

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Попробуйте так
    Код:
    expand X:\i386\mdm.ex_ C:\WINDOWS\System32\mdm.exe
    Посмотрите какие cab-архивы лежат в каталоге X:\i386\.
    Список - в студию.
    Эта комада покажет содержимое архивов без распаковки.
    Код:
    expand /d Х:\i386\<<архив>>.cab

  14. #13
    Junior Member Репутация
    Регистрация
    10.12.2004
    Сообщений
    16
    Вес репутации
    71
    Цитата Сообщение от Rene-gad Посмотреть сообщение
    Попробуйте так
    Код:
    expand X:\i386\mdm.ex_ C:\WINDOWS\System32\mdm.exe
    Посмотрите какие cab-архивы лежат в каталоге X:\i386\.
    Список - в студию.
    вот список
    Том в устройстве E имеет метку GRTMPVOL_RU
    Серийный номер тома: AC26-5CD6
    Содержимое папки E:\I386
    15.04.2008 16:00 620574 DRIVER.CAB
    15.04.2008 16:00 12011 FP40EXT.CAB
    15.04.2008 16:00 20441 IIS6.CAB
    15.04.2008 16:00 95506 IMS.CAB
    15.04.2008 16:00 43814 MANAGER.CAB
    15.04.2008 16:00 92716 MMSSETUP.CAB
    15.04.2008 16:00 14223 MODEM.CAB
    15.04.2008 16:00 684 OSC.CAB
    15.04.2008 16:00 201844 SP3.CAB
    15.04.2008 16:00 7932 WIN.CAB
    15.04.2008 16:00 8014 WINSYS.CAB
    15.04.2008 16:00 3454 WINSYS32.CAB
    12 файлов 911313 байт
    0 папок 0 байт свободно

    Эта комада покажет содержимое архивов без распаковки.
    Код:
    expand /d Х:\i386\<<архив>>.cab
    смотреть список файлов всех архивов из списка?

  15. #14
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Давайте упростим задачу: В консоли восстановления переименуйта файл
    Код:
     ren C:\WINDOWS\System32\mdm.exe mdm.old
    и скопируйте
    Код:
    copy C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE C:\WINDOWS\System32\mdm.exe
    Повторите логи.
    Файл mdm.old закачайте по правилам для анализа.

  16. #15
    Junior Member Репутация
    Регистрация
    10.12.2004
    Сообщений
    16
    Вес репутации
    71
    Цитата Сообщение от Rene-gad Посмотреть сообщение
    Давайте упростим задачу: В консоли восстановления переименуйта файл
    Код:
     ren C:\WINDOWS\System32\mdm.exe mdm.old
    говорит "Не удается найти указанный файл или папку"
    в каталоге C:\WINDOWS\System32\ файла mdm.exe действительно нет (просмотрел каталог)
    и скопируйте
    Код:
    copy C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE C:\WINDOWS\System32\mdm.exe
    говорит "неправильный параметр", хотя команда введена правильно

    Повторите логи.
    Файл mdm.old закачайте по правилам для анализа.
    логи сейчас сделаю...
    может это поможет:
    на ноуте стояла Windows XP SP1а, на нее был установлен SP3..., установка прошла без каких бы то ни было проблем..., до установки SP3 были такие же проблемы с выходом в интернет через локалку...
    Последний раз редактировалось VladMS; 12.09.2008 в 14:39.

  17. #16
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Цитата Сообщение от VladMS Посмотреть сообщение
    говорит "неправильный параметр", хотя команда введена правильно
    Вы правы: я забываю, что в recovery console допустимы только имена в формате DOS8.3
    Код:
    copy C:\Progra~1\Common~1\Micros~1\VS7DEBUG\MDM.EXE C:\WINDOWS\System32\mdm.exe
    Последний раз редактировалось Rene-gad; 12.09.2008 в 15:08.

  18. #17
    Junior Member Репутация
    Регистрация
    10.12.2004
    Сообщений
    16
    Вес репутации
    71
    Сейчас делаю логи...
    Как сделаю тогда выполню команду copy...

  19. #18
    Junior Member Репутация
    Регистрация
    10.12.2004
    Сообщений
    16
    Вес репутации
    71
    новые логи...

    Цитата Сообщение от Rene-gad Посмотреть сообщение
    Вы правы: я забываю, что в recovery console допустимы только имена в формате DOS8.3
    Код:
    copy C:\Progra~1\Common~1\Micros~1\VS7DEBUG\MDM.EXE C:\WINDOWS\System32\mdm.exe
    говорит "Отказано в доступе", хотя пароль администратора введен правильно.
    Вложения Вложения

  20. #19
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    В редакторе реестра пройдите в папку HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\Cur rentVersion\Run, удалите ключ Windows Services Aganters
    Больше ничего плохого не увидел.

  21. #20
    Junior Member Репутация
    Регистрация
    10.12.2004
    Сообщений
    16
    Вес репутации
    71
    Цитата Сообщение от Rene-gad Посмотреть сообщение
    В редакторе реестра пройдите в папку HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\Cur rentVersion\Run, удалите ключ Windows Services Aganters
    сделал
    Сообщение от Rene-gad
    Вы правы: я забываю, что в recovery console допустимы только имена в формате DOS8.3

    Код:
    copy C:\Progra~1\Common~1\Micros~1\VS7DEBUG\MDM.EXE C:\WINDOWS\System32\mdm.exe
    скопировал файл mdm.exe из C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\ в C:\WINDOWS\System32\ прямо в Windows.
    Больше ничего плохого не увидел.
    Ну ладно, вроде все работает нормально... СПАСИБО ОГРОМНОЕ за помощь.

  • Уважаемый(ая) VladMS, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Ответов: 4
      Последнее сообщение: 30.08.2011, 21:43
    2. Ответов: 12
      Последнее сообщение: 26.09.2010, 10:53
    3. Ответов: 22
      Последнее сообщение: 23.12.2009, 15:23
    4. Ответов: 7
      Последнее сообщение: 11.09.2009, 16:44
    5. Ответов: 3
      Последнее сообщение: 26.06.2007, 10:11

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00686 seconds with 20 queries