-
Прошу проверить логи
Привет!
Опять обращаюсь к вам за помощью. Комп заболел какой-то гадостью. Я его долго мучал Нортоном и другими приблудами, т.к. AVZ в обычном режиме он включать не давал. В защищенном все шло гладко и удалялось куча гадостей. Но в обычном режиме ниче не получалось. Комп после старта сильно тормозил. Не загружал все, что надо Потом можно было работать миг с 15 и опять тоже самое. Потом я услышал про Look2Me. Залез к вам и действовал согласно инструкциям о Dr.Web...
http://virusinfo.info/showthread.php?t=4481
Нортон удалось удалить с большим скрипом, но получилось. Теперь, вроде как, все в норме, но я не уверен...потому прошу глянуть логи....
И еще...после загрузки вылазит "ошибка Winlogon"...вот здесь говорится, что можете помочь
http://virusinfo.info/showpost.php?p=63406&postcount=16
а когда пытаешься открыть Инет, вылазит вот такая хрень (см. картинку в прицепе)
Заранее очень благодарен!!!
Последний раз редактировалось jareger; 05.07.2006 в 08:32.
-
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Пришлите
C:\WINDOWS\system32\paytime.exe
C:\WINDOWS\sysldr32.exe
C:\WINDOWS\system32\bum588.exe
C:\WINDOWS\inet20004\winlogon.exe
c:\stub_113_4_0_4_0.exe
С:\Documents and Settings\All Users\Documents\Settings\ur32art.dll
C:\WINDOWS\system32\aaoofiid.dll
C:\WINDOWS\system32\en86l1ls1.dll
C:\WINDOWS\system32\mzdtctm.dll
Поищите
hpprintx.dll
msupdate32.dll
ssldr32.dll
wancp.dll
Пофиксите
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://searchbar.findthewebsiteyouneed.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchbar.findthewebsiteyouneed.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/152f7865...p/RdxIE601.cab
O20 - Winlogon Notify: hpprintx - hpprintx.dll (file missing)
O20 - Winlogon Notify: msupdate - msupdate32.dll (file missing)
O20 - Winlogon Notify: policies - C:\WINDOWS\system32\en86l1ls1.dll (file missing)
O20 - Winlogon Notify: ssldr - ssldr32.dll (file missing)
O20 - Winlogon Notify: ur32artreg - C:\Documents and Settings\All Users\Documents\Settings\ur32art.dll
O20 - Winlogon Notify: wancp - wancp.dll (file missing)
O21 - SSODL: SysTray.Exgl - {636821FC-6F5C-2f1b-B164-E67214F678E2} - C:\WINDOWS\system32\aaoofiid.dll (file missing)
O23 - Service: Network Monitor - Unknown owner - C:\Program Files\Network Monitor\netmon.exe (file missing)
В файле Hosts (C:\WINDOWS\system32\drivers\etc\hosts) все записи кроме 127.0.0.1 localhost удалите
Последний раз редактировалось ALEX(XX); 24.02.2006 в 11:21.
Left home for a few days and look what happens...
-
-
Так-же пришлите, если найдёте -
C:\Program Files\MSN Messenger\MsnMsgr.Exe"
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Common Files\VCClient\VCClient.exe
C:\Program Files\Common Files\VCClient\VCMain.exe
C:\WINDOWS\system32\aaoofiid.dll
hpprintx.dll
en86l1ls1.dll
Последний раз редактировалось RiC; 24.02.2006 в 11:28.
-
-
Высылаю, что нашел. Ошибки при загрузке и открытии Инет-а пропали. Также кидаю логи. Хотел кинуть еще один архив, но 1-е -> он не влазит, а 2-е -> говорит, что поврежден
Последний раз редактировалось jareger; 05.07.2006 в 08:32.
-
-
На будущее: подозрительные файлы следует присылать на virus[at]virusinfo.info
А вот это не нашли? C:\Documents and Settings\All Users\Documents\Settings\ur32art.dll
C:\WINDOWS\inet20004\winlogon.exe
Пофиксите
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
Последний раз редактировалось ALEX(XX); 24.02.2006 в 13:16.
Left home for a few days and look what happens...
-
-
Сообщение от
ALEX(XX)
А вот это не нашли? C:\Documents and Settings\All Users\Documents\Settings\ur32art.dll
вот это находит, но в карантин не добавляет...
Сообщение от
ALEX(XX)
C:\WINDOWS\inet20004\winlogon.exe
Этого нет совсем...
-
-
Попробуйте осуществить поиск в безопасном режиме загрузки системы.
Left home for a few days and look what happens...
-
-
Сообщение от
jareger
вот это находит, но в карантин не добавляет...
Хорошая зверюга, очень желательно всёже вытащить для пополнения "коллекции", потому как весьма редкая.
Качаете свежий AVZ, включаете AVZGuard, потом идёте в "Сервис-Менеджер автозапуска" находите ur32art.dll выбираете удалить запись и перезагружаетесь не выключая Guard, после перезагрузки пробуете скопировать и прислать нам, ну заодно и стереть.
-
-
Сообщение от
RiC
Хорошая зверюга, очень желательно всёже вытащить для пополнения "коллекции", потому как весьма редкая.
окб постараюсь!
Сообщение от
RiC
включаете AVZGuard
вот тут не понял...это сам AVZ или как?
все, понял....не посмотрел просто, а сразу спрашивать полез...)
Последний раз редактировалось jareger; 24.02.2006 в 17:39.
-
-
В Менеджере автозапуска я не нашел эту заразу (см. прицеп)
Хотел еще спросить...компом в данный момент мона пользоваться? Насколько велика вероятность заражения другого компа, если на уже зараженном сделать какой либо документ и перекинуть на "здоровый"? А в Инет вылазить мона? Хуже не станет?
кстати о прицепах...у меня там уже больше половины допустимого места занято...это как-то можно подчистить?
Последний раз редактировалось jareger; 05.07.2006 в 08:32.
-
-
Сделайте новые логи, а то непонятно что осталось, а чего уже нет, возможно доктор до неё уже "добрался" раньше Вас.
-
-
C:\WINDOWS\inet20004\winlogon.exe - Это и есть искомый зверь ... - он на картинке виден ...
-
-
Сообщение от
Зайцев Олег
C:\WINDOWS\inet20004\winlogon.exe - Это и есть искомый зверь ... - он на картинке виден ...
дык и че делать-то?? ) логи высылать?
-
-
C:\WINDOWS\inet20004\winlogon.exe стереть в Safe моде если остался (вместе с каталогом inet20004)копия нам тоже не помешает и повторите логи, непонятно что есть, чего уже нет.
-
-
Кинул вам на почту архив со всей папкой....глянте, там эта гадость или нет, а то удалю и вам не достанется...
-
-
Удаляйте C:\WINDOWS\inet20004 уже известная гадость (из той же "компании" inet2001, inet2002, inet2003, inet2005 в каталоге Windows) , и сделайте свежие логи, я уже запутался честно говоря что дальше советовать, без логов не видно, что есть, что нет, что удалилось, что осталось, а что "может быть" удалилось - кофейная гуща.
Может там уже лечить нечего, сейчас в таком случае напоследок общую зачистку подскажу, Cookes и прочий мусор пособирать, да закончим эту тягомотину.
Последний раз редактировалось RiC; 24.02.2006 в 20:15.
-
-
вроде получилось удалить....вот логи
Последний раз редактировалось jareger; 05.07.2006 в 08:32.
-
-
Последний "выживший"
C:\Documents and Settings\All Users\Documents\Settings\ur32art.dll
Второй "заход" -
AVZ -> AVZ GUARD
Запустить "доверенное приложение" (там-же где и Guard)
Выбираете и запускаете HijackThis
В Hijack - Пофиксить
O20 - Winlogon Notify: ur32artreg - C:\Documents and Settings\All Users\Documents\Settings\ur32art.dll
Закрыть Hijack, закрыть AVZ неотключая Guard
Перезагрузиться.
Попробовать скопировать и стереть -
C:\Documents and Settings\All Users\Documents\Settings\ur32art.dll
Если получиться dll-ку нам.
Если нет ещё вариант -
AVZ - файл->Отложенное удаление
C:\Documents and Settings\All Users\Documents\Settings\ur32art.dll
Перезагрузка
Hijack -
O20 - Winlogon Notify: ur32artreg - C:\Documents and Settings\All Users\Documents\Settings\ur32art.dll
Ещё перезагрузка
Лог Hijak на проверку.
-
-
Вроде удалилось...глянте лог плз...dll-ку отослал...только чет меня в логе вот это смущает...
O20 - Winlogon Notify: ur32artreg - C:\WINDOWS\
или мои подозрения беспочвенны??
Последний раз редактировалось jareger; 05.07.2006 в 08:32.
-
-
Сообщение от
jareger
Вроде удалилось...глянте лог плз...dll-ку отослал...только чет меня в логе вот это смущает...
O20 - Winlogon Notify: ur32artreg - C:\WINDOWS\
или мои подозрения беспочвенны??
Глюк, поставьте галку на против этой строки и нажмите Fix.
Если не поможет создайте reg файл следующего содержимого, и добавьте его в реестр.
Код:
REGEDIT4
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ur32artreg]
в принципе толку он него уже никакого.
Если есть желание можете напоследок пройтись Ewido Microscaner`ом нового врятли чего найдёт, но реестр от мусора почистит и левые кукисы пособирает (скачать придётся около 5ти мб).
Последний раз редактировалось RiC; 25.02.2006 в 19:13.
-