Похоже еще что-то осталось после лечения, ноутбук не мой, а знакомой. Нужно сделать. Помогите пожалуйста.
Похоже еще что-то осталось после лечения, ноутбук не мой, а знакомой. Нужно сделать. Помогите пожалуйста.
Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
- Выполните скрипт
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DelBHO('{92780B25-18CC-41C8-B9BE-3C9C571A8263}'); DelBHO('{EF8820EB-F11E-4DD6-BC6C-D99084691C18}'); DelBHO('{62249D05-FA0B-4FC9-AA63-64873398E4BF}'); QuarantineFile('C:\WINDOWS\system32\svchosts.exe',''); QuarantineFile('C:\WINDOWS\system32\bojzwjvnon.exe',''); QuarantineFile('C:\WINDOWS\System32\mdm.exe',''); QuarantineFile('C:\WINDOWS\System32\nnnmjgFx.dll',''); QuarantineFile('C:\WINDOWS\System32\mlJBQIyv.dll',''); DeleteFile('C:\WINDOWS\System32\mlJBQIyv.dll'); DeleteFile('C:\WINDOWS\System32\nnnmjgFx.dll'); DeleteFile('C:\WINDOWS\system32\bojzwjvnon.exe'); DeleteFile('C:\WINDOWS\system32\svchosts.exe'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
Спасибо. Все сделал. Новые логи и карантин выслал...
Пофиксите в HijackThis:
Перезагрузите компьютер и повторите лог HijackThis.Код:O2 - BHO: (no name) - {8246E896-64FA-4819-BFD0-8A7AB6A3E213} - C:\WINDOWS\System32\nnnmjgFx.dll (file missing) O2 - BHO: (no name) - {EF8820EB-F11E-4DD6-BC6C-D99084691C18} - C:\WINDOWS\System32\mlJBQIyv.dll (file missing) O4 - HKLM\..\RunServices: [Windows Services Aganters] bojzwjvnon.exe O4 - HKLM\..\RunServices: [mmsass] svchosts.exe O20 - Winlogon Notify: mlJBQIyv - mlJBQIyv.dll (file missing)
Какие-то проблемы остались?
I am not young enough to know everything...
Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
-Пофиксите
- Выполните скриптКод:O4 - HKLM\..\RunServices: [Windows Services Aganters] bojzwjvnon.exe O4 - HKLM\..\RunServices: [mmsass] svchosts.exe O20 - Winlogon Notify: mlJBQIyv - mlJBQIyv.dll (file missing)
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DelBHO('{07F904EF-FD1E-4AEE-99D7-8BCF42E067BD}'); DelBHO('{92780B25-18CC-41C8-B9BE-3C9C571A8263}'); DelBHO('{EF8820EB-F11E-4DD6-BC6C-D99084691C18}'); DelBHO('{8246E896-64FA-4819-BFD0-8A7AB6A3E213}'); QuarantineFile('C:\WINDOWS\System32\mlJBQIyv.dll',''); QuarantineFile('C:\WINDOWS\System32\nnnmjgFx.dll',''); QuarantineFile('C:\WINDOWS\System32\mdm.exe',''); DeleteFile('C:\WINDOWS\System32\mdm.exe'); DeleteFile('C:\WINDOWS\System32\nnnmjgFx.dll'); DeleteFile('C:\WINDOWS\System32\mlJBQIyv.dll'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
1. Запуститесь с дистрибутива.
2. При загрузке давите на клавишу R. Попадете в косоль восстановления.
3. На приглашение введите строку:
Вместо Х вставьте букву CD-драйва.Код:expand X:\i386\mdm.ex_ C:\WINDOWS\System32\
4. Выйдите из консоли восстановления комадой exit + клавиша ВВОД.
5. Загрузитесь нормально.
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
Спасибо. Все сделал. Только не могу выйти с него в интернет через локальную сеть - после запуска IE и ввода адреса выскакивает "Подключение удаленного доступа" (MMS Ethernet(PPPoE)), а через сетку не хочет... в сетевом поключении параметры прописаны. Подскажите, пожалуйста, что я делаю не так, в чем проблема.
- Выполните скрипт
После перезагрузки проинформируйте о состоянии ПК и комплект логов - в студию.Код:begin executerepair(14); RebootWindows(true); end.
Извините, не видел сообщения #5 от Rene-gad. Сейчас все сделаю. Спасибо.
Код:
expand X:\i386\mdm.ex_ C:\WINDOWS\System32\
это не сделал... говорит "не найден файл или каталог" или "неправильно указан файл или каталог" - точно не помню.
логи сейчас делаю...
Последний раз редактировалось VladMS; 11.09.2008 в 16:40.
Спасибо. Последние логи ...
С интернетом проблема таже - описана в сообщении #6. Как исправить...
Скрипт из сообщения 7 запускали?
Попробуйте еще WinsockFix: http://www.softpedia.com/progDownloa...oad-15337.html
Добавлено через 1 минуту
Вы вместо Х букву сидюка подставили? Она м.б. не такая, как в нормальной системе.
Последний раз редактировалось Rene-gad; 11.09.2008 в 17:37. Причина: Добавлено
запускал
пофиксилПопробуйте еще WinsockFix: http://www.softpedia.com/progDownloa...oad-15337.html
подставил..., но такого файла в каталоге i386\mdm.ex_ почему-то нетДобавлено через 1 минуту
Вы вместо Х букву сидюка подставили? Она м.б. не такая, как в нормальной системе
проблемы с выходом в интернет через локалку остались...
дома через "Подключение удаленного доступа" (MMS Ethernet(PPPoE)) все работает без проблем, а через локалку никак не хочет... Как исправить?
Попробуйте так
Посмотрите какие cab-архивы лежат в каталоге X:\i386\.Код:expand X:\i386\mdm.ex_ C:\WINDOWS\System32\mdm.exe
Список - в студию.
Эта комада покажет содержимое архивов без распаковки.
Код:expand /d Х:\i386\<<архив>>.cab
вот список
Том в устройстве E имеет метку GRTMPVOL_RU
Серийный номер тома: AC26-5CD6
Содержимое папки E:\I386
15.04.2008 16:00 620574 DRIVER.CAB
15.04.2008 16:00 12011 FP40EXT.CAB
15.04.2008 16:00 20441 IIS6.CAB
15.04.2008 16:00 95506 IMS.CAB
15.04.2008 16:00 43814 MANAGER.CAB
15.04.2008 16:00 92716 MMSSETUP.CAB
15.04.2008 16:00 14223 MODEM.CAB
15.04.2008 16:00 684 OSC.CAB
15.04.2008 16:00 201844 SP3.CAB
15.04.2008 16:00 7932 WIN.CAB
15.04.2008 16:00 8014 WINSYS.CAB
15.04.2008 16:00 3454 WINSYS32.CAB
12 файлов 911313 байт
0 папок 0 байт свободно
смотреть список файлов всех архивов из списка?Эта комада покажет содержимое архивов без распаковки.
Код:expand /d Х:\i386\<<архив>>.cab
Давайте упростим задачу: В консоли восстановления переименуйта файли скопируйтеКод:ren C:\WINDOWS\System32\mdm.exe mdm.oldПовторите логи.Код:copy C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE C:\WINDOWS\System32\mdm.exe
Файл mdm.old закачайте по правилам для анализа.
говорит "Не удается найти указанный файл или папку"
в каталоге C:\WINDOWS\System32\ файла mdm.exe действительно нет (просмотрел каталог)
говорит "неправильный параметр", хотя команда введена правильнои скопируйтеКод:copy C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE C:\WINDOWS\System32\mdm.exe
логи сейчас сделаю...Повторите логи.
Файл mdm.old закачайте по правилам для анализа.
может это поможет:
на ноуте стояла Windows XP SP1а, на нее был установлен SP3..., установка прошла без каких бы то ни было проблем..., до установки SP3 были такие же проблемы с выходом в интернет через локалку...
Последний раз редактировалось VladMS; 12.09.2008 в 14:39.
Сейчас делаю логи...
Как сделаю тогда выполню команду copy...
В редакторе реестра пройдите в папку HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\Cur rentVersion\Run, удалите ключ Windows Services Aganters
Больше ничего плохого не увидел.
сделал
скопировал файл mdm.exe из C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\ в C:\WINDOWS\System32\ прямо в Windows.Сообщение от Rene-gad
Вы правы: я забываю, что в recovery console допустимы только имена в формате DOS8.3
Код:
copy C:\Progra~1\Common~1\Micros~1\VS7DEBUG\MDM.EXE C:\WINDOWS\System32\mdm.exe
Ну ладно, вроде все работает нормально... СПАСИБО ОГРОМНОЕ за помощь.Больше ничего плохого не увидел.
Уважаемый(ая) VladMS, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.