Здравствуйте, уважаемые!
Только Вы можете помочь в лечении компа.
Восстановление системы отключено, прогнал cure it! в безопасном режиме, потом АВЗ. вот логи...
Здравствуйте, уважаемые!
Только Вы можете помочь в лечении компа.
Восстановление системы отключено, прогнал cure it! в безопасном режиме, потом АВЗ. вот логи...
Последний раз редактировалось vlad_1976; 27.10.2008 в 18:59.
Выполнять в обычном режиме!
Скачать,меню,File,появится аналог проводника,найти:
правая кнопка мыши Force Delete на запрос о перезагрузке ответьте положительно.Код:C:\WINDOWS\system32\DRIVERS\HBKernel32.sys
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Пришлите карантин по правилам и повторите логи...Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('SYSTEM.EXE',''); DeleteService('eth8023'); QuarantineFile('C:\WINDOWS\system32\drivers\eth8023.sys',''); DeleteService('c551839'); QuarantineFile('C:\WINDOWS\system32\c551839.sys',''); DeleteService('8b52f47'); DeleteService('5102a80'); DeleteService('4c70249'); DeleteService('4901228'); QuarantineFile('C:\WINDOWS\system32\8b52f47.sys',''); QuarantineFile('C:\WINDOWS\system32\5102a80.sys',''); QuarantineFile('C:\WINDOWS\system32\4c70249.sys',''); QuarantineFile('C:\WINDOWS\system32\4901228.sys',''); DeleteService('HBKernel32'); QuarantineFile('C:\WINDOWS\system32\Drivers\HBKernel32.sys',''); QuarantineFile('C:\WINDOWS\system32\HBZG.dll',''); QuarantineFile('C:\WINDOWS\system32\HBSO2.dll',''); QuarantineFile('C:\WINDOWS\system32\HBQQSG.dll',''); QuarantineFile('C:\WINDOWS\system32\HBQQFFO.dll',''); QuarantineFile('C:\WINDOWS\system32\HBmhly.dll',''); QuarantineFile('C:\WINDOWS\system32\HBBO.dll',''); DeleteFile('C:\WINDOWS\system32\HBBO.dll'); DeleteFile('C:\WINDOWS\system32\HBmhly.dll'); DeleteFile('C:\WINDOWS\system32\HBQQFFO.dll'); DeleteFile('C:\WINDOWS\system32\HBQQSG.dll'); DeleteFile('C:\WINDOWS\system32\HBSO2.dll'); DeleteFile('C:\WINDOWS\system32\HBZG.dll'); DeleteFile('C:\WINDOWS\system32\Drivers\HBKernel32.sys'); DeleteFile('C:\WINDOWS\system32\4901228.sys'); DeleteFile('C:\WINDOWS\system32\4c70249.sys'); DeleteFile('C:\WINDOWS\system32\5102a80.sys'); DeleteFile('C:\WINDOWS\system32\8b52f47.sys'); DeleteFile('C:\WINDOWS\system32\c551839.sys'); DeleteFile('C:\WINDOWS\system32\drivers\eth8023.sys'); DeleteFile('HBASKTAO.dll'); DeleteFile('HBCHD.dll'); DeleteFile('HBCHIBI.dll'); DeleteFile('HBCONQUER.dll'); DeleteFile('HBDNF.dll'); DeleteFile('HBFHZL.dll'); DeleteFile('HBFS2.dll'); DeleteFile('HBFY.dll'); DeleteFile('HBGC.dll'); DeleteFile('HBHM.dll'); DeleteFile('HBHX2.dll'); DeleteFile('HBJTLQ.dll'); DeleteFile('HBJXSJ.dll'); DeleteFile('HBLYFX.dll'); DeleteFile('HBMIR2.dll'); DeleteFile('HBMXD.dll'); DeleteFile('HBPICKCHINA.dll'); DeleteFile('HBPPBL.dll'); DeleteFile('HBQJSJ.dll'); DeleteFile('HBQQHX.dll'); DeleteFile('HBQQXX.dll'); DeleteFile('HBR2.dll'); DeleteFile('HBRXJH.dll'); DeleteFile('HBSHQ.dll'); DeleteFile('HBSOUL.dll'); DeleteFile('HBSQ.dll'); DeleteFile('HBTJ.dll'); DeleteFile('HBTL.dll'); DeleteFile('HBTW2.dll'); DeleteFile('HBTZ.dll'); DeleteFile('HBW2I.dll'); DeleteFile('HBWARLORDS.dll'); DeleteFile('HBWD.dll'); DeleteFile('HBWLQX.dll'); DeleteFile('HBWOOOL.dll'); DeleteFile('HBWORLD2.dll'); DeleteFile('HBWOW.dll'); DeleteFile('HBWULIN2.dll'); DeleteFile('HBXMJ.dll'); DeleteFile('HBXY3.dll'); DeleteFile('HBXY2.dll'); DeleteFile('HBYY.dll'); DeleteFile('HBZERO.dll'); DeleteFile('HBZHUXIAN.dll'); DeleteFile('HBZT.dll'); DeleteFile('SYSTEM.EXE'); BC_ImportALL; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
карантин закачал. новые логи прикрепляю.
Последний раз редактировалось vlad_1976; 11.11.2008 в 11:33.
Выполнять в обычном режиме!
Пофиксить
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".Код:O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file) O20 - AppInit_DLLs: HBmhly.dll,HB1000Y.dll,HBSO2.dll,HBKDXY.dll,HBBO.dll,HBCT.dll,HBQQSG.dll,HBQQFFO.dll,HBZG.dll,
Повторите логи из обычного режима...Код:begin ClearQuarantine; SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('HB1000Y.dll'); DeleteFile('HBBO.dll'); DeleteFile('HBCT.dll'); DeleteFile('HBKDXY.dll'); DeleteFile('HBQQFFO.dll'); DeleteFile('HBQQSG.dll'); DeleteFile('HBSO2.dll'); DeleteFile('HBZG.dll'); DeleteFile('HBmhly.dll'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
У меня появилась вторая проблема!
Комп, который мы лечили, находится вне сети и поэтому все логи я отправлял со своей машины, переносил флэшкой. вчера прочитал ветку "отче наш" и в частности "Отключить автостарт съёмных дисков, флешек, CD". сегодня с утра перезагрузился и началось (может конечно это совпадение): TuneUp Utilities пишет, что приложение повреждено, повторная перезагрузка ничем не помогла, тотал командер потерял все панели и руссификацию, прога your uninstaller потеряла ini файлы, авира антивир - не работает апдейт и еще несколько программ перестало запускаться.
Подскажите, мне надо создать отдельную ветку в форуме или можно в этой же теме продолжать общение. Я в панике, не знаю что делать.
да, все изменения сделанные вчера в реестре я убрал, бесполезно.
это логи к теме про первый комп.
Последний раз редактировалось vlad_1976; 11.11.2008 в 11:33.
В логах чисто, автозапуск не связан ни каким образом с тем что вы описали...
Последний раз редактировалось vlad_1976; 28.10.2008 в 12:31. Причина: Добавлено
Новую тему создайте...
спасибо за помощь
Уважаемый(ая) vlad_1976, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.