Доброй ночи! Обнаружен вирус Trojan-GameThief.Win32.OnLineGames.tcom. XP запускается в безопасном режиме только, avz не может включить AVZGuard. Надеюсь на помощь!
Доброй ночи! Обнаружен вирус Trojan-GameThief.Win32.OnLineGames.tcom. XP запускается в безопасном режиме только, avz не может включить AVZGuard. Надеюсь на помощь!
Последний раз редактировалось Rene-gad; 24.09.2008 в 12:04. Причина: Удалены ненужные логи
Удалось запуститься в нормальном режиме. При входе в систему пытается установить какой-то драйвер нового устройства и далее пишет "HBInject32:Windows неверный образ" При этом обнаруживает вирус в файле windows/system32/system.exe Bacdor.win32.Agent.ru. так же есть вирусы Troyan-proxy.Win32.Agent.axl mshta.dll и Troyan-Downloader.Win32.Small.yhf AclLayer.dll. Попутно в системе находятся вирусы Troyan-GameThief.Win32.OnlineGames разных модификаций и Troyan-Downloader.Win32.Murlo.nn.
Новые файлы логов
А в это время файл hosts вырос до 200 кбайт(удалить невозможно) А помощи все нет
Последний раз редактировалось Rene-gad; 24.09.2008 в 11:57.
Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
- Выполните скрипт
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\Update.dll',''); QuarantineFile('C:\WINDOWS\system32\zptldsys.dll',''); QuarantineFile('C:\WINDOWS\system32\xolehlpjh.dll',''); QuarantineFile('C:\WINDOWS\system32\twainyy.dll',''); QuarantineFile('C:\WINDOWS\system32\tscfgwmijxsj.dll',''); QuarantineFile('C:\WINDOWS\system32\System.exe',''); QuarantineFile('C:\WINDOWS\system32\slbiopfs2.dll',''); QuarantineFile('C:\WINDOWS\system32\nhmxejkl.dll',''); QuarantineFile('C:\WINDOWS\system32\mstimewd.dll',''); QuarantineFile('C:\WINDOWS\system32\mircos.dll',''); QuarantineFile('C:\WINDOWS\system32\lweurqhx.dll',''); QuarantineFile('C:\WINDOWS\system32\jkhxaklo.dll',''); QuarantineFile('C:\WINDOWS\system32\inetresdxc.dll',''); QuarantineFile('C:\WINDOWS\system32\imgutilhx2.dll',''); QuarantineFile('C:\WINDOWS\system32\DRIVERS\HBKernel32.sys',''); QuarantineFile('C:\WINDOWS\system32\Drivers\HBKernel32.sys',''); QuarantineFile('C:\WINDOWS\system32\dpvvoxmh.dll',''); QuarantineFile('C:\WINDOWS\system32\dispexcb.dll',''); QuarantineFile('C:\WINDOWS\system32\ddwnohxp.dll',''); QuarantineFile('C:\WINDOWS\system32\comuidsg.dll',''); QuarantineFile('C:\WINDOWS\system32\cliconfgzx.dll',''); QuarantineFile('C:\WINDOWS\system32\certmgrkd.dll',''); QuarantineFile('C:\WINDOWS\system32\bootvidgj.dll',''); QuarantineFile('C:\WINDOWS\system32\avicapwm.dll',''); QuarantineFile('C:\WINDOWS\system32\adsntzt.dll',''); DeleteService('HBKernel32'); DeleteFile('C:\WINDOWS\Update.dll'); DeleteFile('C:\WINDOWS\system32\zptldsys.dll'); DeleteFile('C:\WINDOWS\system32\xolehlpjh.dll'); DeleteFile('C:\WINDOWS\system32\twainyy.dll'); DeleteFile('C:\WINDOWS\system32\tscfgwmijxsj.dll'); DeleteFile('C:\WINDOWS\system32\System.exe'); DeleteFile('C:\WINDOWS\system32\slbiopfs2.dll'); DeleteFile('C:\WINDOWS\system32\nhmxejkl.dll'); DeleteFile('C:\WINDOWS\system32\mstimewd.dll'); DeleteFile('C:\WINDOWS\system32\mircos.dll'); DeleteFile('C:\WINDOWS\system32\lweurqhx.dll'); DeleteFile('C:\WINDOWS\system32\jkhxaklo.dll'); DeleteFile('C:\WINDOWS\system32\inetresdxc.dll'); DeleteFile('C:\WINDOWS\system32\imgutilhx2.dll'); DeleteFile('C:\WINDOWS\system32\Drivers\HBKernel32.sys'); DeleteFile('C:\WINDOWS\system32\DRIVERS\HBKernel32.sys'); DeleteFile('C:\WINDOWS\system32\dpvvoxmh.dll'); DeleteFile('C:\WINDOWS\system32\dispexcb.dll'); DeleteFile('C:\WINDOWS\system32\ddwnohxp.dll'); DeleteFile('C:\WINDOWS\system32\comuidsg.dll'); DeleteFile('C:\WINDOWS\system32\cliconfgzx.dll'); DeleteFile('C:\WINDOWS\system32\certmgrkd.dll'); DeleteFile('C:\WINDOWS\system32\bootvidgj.dll'); DeleteFile('C:\WINDOWS\system32\avicapwm.dll'); DeleteFile('C:\WINDOWS\system32\adsntzt.dll'); DelBHO('{97421D0D-E07F-40DF-8F07-99597B9585AD}'); BC_ImportAll; ExecuteSysClean; BC_DeleteSvc('HBKernel32 '); ExecuteRepair(13); BC_Activate; RebootWindows(true); end.
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 2 правил).
- Прикрепите логи к новому сообщению.
Добрый день Rene-gad! Все сделал как Вы написали. При перегрузке опять выдается ошибка HBInject32:Windows . Окно не убирается. В списке файлов карантина пусто.
Выполните лечение от файлового вируса: http://virusinfo.info/showthread.php?t=15927
Потом повторите логи.
Вручную закачал файлы в карантин. Отправил!
Нет , еще не лечился. В прошлом сообщении указал что список карантина пуст, а при ручной проверке обнаружил файлы указанные в скрипте. Их я и выслал.
К сожалению запустить антивирусник CureIt (записан на CD) не могу. Сразу выдает синий экран смерти как в безопасном режиме , так и в нормальном. PAGE_FAULT_IN_NONPAGED_AREA STOP:0x00000050 (0x8de0ffc3, 0x00000001, 0x80581c8e, 0x00000000)
Перемонтируйте диск как слэйв в другой комп. Без лечения файлового вируса поможет только формат ц:\
Последний раз редактировалось Eugenijo; 24.09.2008 в 14:01.
CureIt отработал и поудалял все вирусы... вроде бы осталось подправить реестр , что бы не выскакивало предупреждение об установке нового устройства и отсутствии файла C:windows\update.dll . И неработает почему то обновление с Майкрософта ... Последние логи...
Последний раз редактировалось Eugenijo; 24.09.2008 в 18:51.
-Пофиксите
- Сделайте повторные логи по правилам.Код:O4 - HKLM\..\Run: [3PMmUpdate] rundll32 "C:\WINDOWS\Update.dll",Main O4 - HKLM\..\Run: [HBService32] System.exe O21 - SSODL: tscfgwmijxsj.dll - {2CB77746-8ECC-40ca-8217-10CA8BE5EFC8} - C:\WINDOWS\system32\tscfgwmijxsj.dll (file missing) O21 - SSODL: xolehlpjh.dll - {F0930A2F-D971-4828-8209-B7DFD266ED44} - C:\WINDOWS\system32\xolehlpjh.dll (file missing) O21 - SSODL: fdarvkpu.dll - {21BE5FDF-D4CB-4850-AD99-21E68B50BF3F} - C:\WINDOWS\system32\ddwnohxp.dll (file missing) O21 - SSODL: ddwnohxp.dll - {21BE5FDF-D4CB-4850-AD99-21E68B50BF3F} - C:\WINDOWS\system32\ddwnohxp.dll (file missing) O21 - SSODL: comuidsg.dll - {898E02AB-9372-4a2c-9C4A-FFE1AF61097F} - C:\WINDOWS\system32\comuidsg.dll (file missing) O21 - SSODL: certmgrkd.dll - {9E8287B0-0F3A-48ae-99C5-A6E0AAC36BC5} - C:\WINDOWS\system32\certmgrkd.dll (file missing) O21 - SSODL: inetresdxc.dll - {BB4E3499-0132-4d3f-849A-2BE1B26D84E1} - C:\WINDOWS\system32\inetresdxc.dll (file missing) O21 - SSODL: imgutilhx2.dll - {DA56B183-A731-402b-9235-2CB8803E212D} - C:\WINDOWS\system32\imgutilhx2.dll (file missing) O21 - SSODL: dispexcb.dll - {76D44356-B494-443a-BEDC-AA68DE4255E6} - C:\WINDOWS\system32\dispexcb.dll (file missing) O21 - SSODL: slbiopfs2.dll - {EB9660D8-E1CD-4ff0-B4A9-00CD907F928A} - C:\WINDOWS\system32\slbiopfs2.dll (file missing) O21 - SSODL: mstimewd.dll - {65056902-6E7B-4bd7-95BA-688DB5FA5BEB} - C:\WINDOWS\system32\mstimewd.dll (file missing) O21 - SSODL: dpvvoxmh.dll - {2876D76C-CAAA-4313-AF97-8D1D9A2A1087} - C:\WINDOWS\system32\dpvvoxmh.dll (file missing) O21 - SSODL: adsntzt.dll - {E0F3526A-4165-4589-80CD-50B6FBAC3BDA} - C:\WINDOWS\system32\adsntzt.dll (file missing) O21 - SSODL: avicapwm.dll - {6B9FEAD7-4319-4312-AB05-D8C9CD255BFE} - C:\WINDOWS\system32\avicapwm.dll (file missing) O21 - SSODL: lweurqhx.dll - {71A78CD4-E470-4a18-8457-E0E0283DD507} - C:\WINDOWS\system32\lweurqhx.dll (file missing) O21 - SSODL: cliconfgzx.dll - {7A6DF30E-D0F2-446f-B4F0-BF4232D60E07} - C:\WINDOWS\system32\cliconfgzx.dll (file missing) O21 - SSODL: bootvidgj.dll - {D3112B69-A745-4805-874E-ABD480EA1299} - C:\WINDOWS\system32\bootvidgj.dll (file missing) O21 - SSODL: twainyy.dll - {434FA69C-5F0A-42e1-82B8-10AF2C8E53C6} - C:\WINDOWS\system32\twainyy.dll (file missing)
- Прикрепите логи к новому сообщению.
ни одной из указанных Вами строчек в HijackThis нет Наверное потому что первоначально запустил Ваш первый вариант... Делаю логи.
Новые логи после выполнения первоначального скрипта. Ошибка об отсутствии файла update не возникает. Установка драйверов продолжает высвечиваться, но с ней я уже разобрался- для каких то устройств действительно нет драйверов... Обновление не работает, так как не запускается служба автоматического обновления .
Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
- Выполните скрипт
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DelBHO('{97421D0D-E07F-40DF-8F07-99597B9585AD}'); DeleteFile('mircos.dll'); DeleteFile('C:\WINDOWS\system32\mircos.dll'); BC_ImportAll; ExecuteSysClean; setservicestart('wuauserv',2) BC_Activate; RebootWindows(true); end.
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 2 правил).
- Прикрепите логи к новому сообщению.
Добрый день! Прошу прощения что не отвечал, закончился рабочий день В вашем скрипте исправил ошибку, пропущена в 9 строке ";"
Новые логи и карантин. Обновление Windows не работает. Установил SP3. Обновление все равно не работает. Служба обновления не запускается.
Последний раз редактировалось Eugenijo; 25.09.2008 в 15:39.
- Выполните скрипт
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('C:\WINDOWS\system32\DRIVERS\HBKernel32.sys'); BC_ImportAll; ExecuteSysClean; BC_DeleteSvc('HBKernel32'); setservicestart('wuauserv',2); BC_Activate; RebootWindows(true); end.
- Сделайте повторные логи по правилам.
- Прикрепите логи к новому сообщению.
Новые логи... Обновление не работает
Уважаемый(ая) Eugenijo, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.