-
Junior Member
- Вес репутации
- 59
лечение ПК не помогло
После выполнения дважды всех процедур согласно Правил, в т.ч. лечения CureIT и AVZ, состояние ПК только ухудшается. Помимо постоянно выскакивающих сообщений от установленного сканера AVAST, сама операционная система XP SP2 выдала неубираемое сообщение: Warning! Win32/Adware.Virtumonde. Detected on your computer и Warning! Win32/PrivacyRemover.M64. Detected on your computer.
Фактически работать почти невозможно.
Убедительная просьба сообществу хелперов прореагировать на мою беду.
С уважением,
Алексей.
Последний раз редактировалось Alex T; 02.11.2008 в 12:40.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
отключите восстановление системы !
выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\vedxg6ame4.exe','');
QuarantineFile('sysfldr.dll','');
TerminateProcessByName('c:\windows\system32\update32.exe');
QuarantineFile('c:\windows\system32\update32.exe','');
DeleteFile('c:\windows\system32\update32.exe');
DeleteFile('sysfldr.dll');
DeleteFile('C:\WINDOWS\system32\update32.exe');
DeleteFile('C:\WINDOWS\system32\vedxg6ame4.exe');
ExecuteRepair(11);
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
пришлите карантин согласно приложения 3 правил
повторите логи
-
-
Первое и Важное: отключить восст. системы. При исполнении скриптов отключить Аваст!, он будет только мешаться.
Дополнительно:
Код:
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe
O2 - BHO: Rmn plugin - {2FDA60DF-6D94-4f16-A48C-3C4EC57FEF58} - nokia32.dll (file missing)
O20 - Winlogon Notify: sysfldr - sysfldr.dll (file missing)
O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\
O20 - Winlogon Notify: WinNt32 - C:\WINDOWS\
O20 - Winlogon Notify: WLCtrl32 - C:\WINDOWS\
Дополнительно поместить в карантин и прислать:
C:\WINDOWS\iexplorer.exe
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 59
пока не помогло
Спасибо за участие откликнувшимся, но, к сожалению, рекомендованные действия по выполнению скрипта и "пофиксить с помощью HiJackThis" результата пока не дали. Выполнял все действия при отключенном восстановлении системы. Дополнительно обнаружил ещё последствия вируса: в настройках Экрана исчезла возможность настройки обоев рабочего стола, время от времени выключается брандмауэр Windows и т.п. Кроме того, прислать с карантином запрошенную программу C:\WINDOWS\iexplorer.exe не получилось, при попытке добавить в карантин, AVZ сообщил, про "ошибку карантина файла, попытка прямого чтения". Более того, я не смог нигде найти само место расположения explorer.exe, даже в скрытых файлах.
Направляю новые логи и очень надеюсь на помощь
С уважением,
Алексей
Последний раз редактировалось Alex T; 02.11.2008 в 12:40.
-
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\lphc76oj0ep7a.exe','');
DeleteService('docker19');
QuarantineFile('C:\WINDOWS\system32\drivers\docker19.sys','');
QuarantineFile('C:\WINDOWS\system32\ciktbc.dll','');
DeleteFile('C:\WINDOWS\system32\drivers\docker19.sys');
DeleteFile('C:\WINDOWS\system32\lphc76oj0ep7a.exe');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteSvc('docker19');
BC_Activate;
ExecuteRepair(5 );
ExecuteRepair(6 );
RegKeyStrParamWrite('HKEY_USERS','.DEFAULT\Control Panel\Desktop','Wallpaper','');
RebootWindows(true);
end.
Пришлите карантин по правилам и повторите логи...
-
-
Junior Member
- Вес репутации
- 59
направляю логи
Выполнил скрипт, отправил карантин и сейчас отправляю логи. Пока видимых изменений нет, хотя Avast вроде перестал засыпать сообщениями о вирусах. Но по-прежнему в качестве обоев висит это странное предупреждение якобы от Windows (см. в начале темы), и нет возможности его убрать - в настройках Экрана так и не появились стандартные закладки для настройки рабочего стола и заставки. И ещё: браузер IE работает почему то с ftp-адресами сразу, а с http-адресами только при отключении сканера avast. И ещё может кто подскажет - если после заражения неоднократно выскакивало сообщение о том, что заражено ОЗУ, может поэтому и не все получается при лечении?
С надеждой на помощь и с верой в успех,
Алексей
Последний раз редактировалось Alex T; 02.11.2008 в 12:40.
-
У меня такое ощущение что ничего не выполнялось, все по-прежнему на своих местах, попробуйте выполнить в безопасном режиме...
-
-
Junior Member
- Вес репутации
- 59
Спасибо, часть проблем уже решена
Выполнил скрипт, как советовали, в безопасном режиме - и сразу видны положительные сдвиги. Настройки Экрана восстановились и исчезло псевдосообщение Windows в качестве обоев. Однако с браузером IE проблемы добавились. Теперь страницы открываются с 3-4-ой попытки - т.е. окно появляется, но пустое (без адресной строки, панели инструментов и т.п.), далее страница зависает, при попытке закрытия её сообщает, что программа не отвечает, предлагает только через завершение задачи.
При этом в карантине оказалось еще больше файлов, чем ранее.
Направляю карантин и логи и надеюсь на Вашу поддержку.
С уважением,
алексей
Последний раз редактировалось Alex T; 02.11.2008 в 12:40.
-
Подождем ответа ВирЛаба по поводу одного файла...
-
-
Junior Member
- Вес репутации
- 59
Что-то серьёзное? Или проблемы только с IE (потому что по трассировке видно, как без проблем летают пинги, а из http-адресов без проблем открываются, как ни странно, только домашняя страница (yandex.ru) и непосредственно сайт virusinfo). Всн отсальные страницы только начинают загружаться и туте зависают.
Простите за нескромный вопрос - ответа от этого ВирЛаба долго обычно ждут?
С увыажением,
Алексей
-
До утра думаю ответят, а вы не пробовали другой браузер использовать?
-
-
Junior Member
- Вес репутации
- 59
Грамотёшки не хватает и не молодой я уже
-
Записать настройки локальной сети.
Выполнить скрипт:
Код:
begin
ExecuteRepair(14);
ExecuteRepair(15);
end.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 59
уточнение
Уточните, ради бога, откуда и каким образом записать настройки локальной сети (наверное, имеется ввиду подключение моего ПК к выделенке через сетевые подключения), а также что делать после выполнения скрипта в AVZ?
-
Пуск - Выполнить - cmd, нажать Ок - ipconfig /all.
Оттуда списать адрес, маску, гейтвей, ДНС сервера.
DNS у Вас вот это: 77.75.9.13 77.75.8.13
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 59
Не всё понял в Вашей терминологии, поэтому направляю полное описание подключения, через которое осуществляется выход в Internet. Фактически настройки подключения к моему провайдеру состоят из двух частей-подключения к его локальной сети и подключения к Internet, поэтому направляю описание обеих настроек.
И убедительная просьба всё-таки ответить на мой второй вопрос-что делать после выполнения скрипта?
Последний раз редактировалось Alex T; 15.10.2008 в 00:39.
-
Для начала до скрипта надо попробовать войти в эти настройки.
Как это сделать: Панель управления - Сетевые подключения - на подключении правая клавиша мыши, "Свойства", TCP/IP. Там должны быть те цифры, которые ты прислал.
После выполнения скрипта заново прописать все сетевые настройки для обоих сетевых подключений.
З.Ы. Да, и я тоже не очень молод.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 59
Войти в настройки указанным способом не удалось - везде стоит галочка "получить адрес автоматически" (и IP и DNS) и поля адресов, соответственно, пустые.
-
Вот для этого подключения посмотри: Annexgroup-PPP адаптер. Это подключение к Интернет.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 59
Я понимаю, но и настройках этого подключения в "Свойствах" - "Протокол Интернета (TCP/IP)" сейчас поля пустые и стои галочка на автоматическом получении адресов
Добавлено через 1 час 40 минут
Переписал я для подстраховки все существующие настройки подключений, и выполнил всё-таки скрипт. Результат есть, но в буквальном смысле половинчатый. Теперь количество нормально открывающихся сайтов увеличилось где-то до 60%. С остальными та же проблема - только начинают открываться и тут же зависают, при этом исчезают панель инструментов и адресная строка.
Будьте добры, доведите начатое со мной дело до положительного завершения.
С уважением,
Алексей
Добавлено через 3 часа 37 минут
Спасибо огромное всем за ценную помощь! Всё заработало!
Последний раз редактировалось Alex T; 15.10.2008 в 00:37.
Причина: Добавлено