Не дает копировать антивирусы, паразит!
Не дает копировать антивирусы, паразит!
Восстановление системы отключить.
Выполните скрипт в avz
ПК перезагрузится.Код:begin DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true); SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteService('systemntmi'); DeleteService('securentm'); DeleteService('Nups'); DeleteService('nicsk32'); DeleteService('netsik'); DeleteService('ksi32sk'); DeleteService('fips32cup'); QuarantineFile('C:\WINDOWS\system32\systool16b.dll',''); QuarantineFile('C:\WINDOWS\system32\restorer64_a.exe',''); QuarantineFile('C:\Documents and Settings\User\restorer64_a.exe',''); QuarantineFile('C:\Documents and Settings\User\Local Settings\Temp\KB812394.exe',''); QuarantineFile('C:\WINDOWS\system32\sdra64.exe',''); QuarantineFile('C:\WINDOWS\System32\systool16b.dll',''); QuarantineFile('C:\WINDOWS\system32\rgadtm.dll',''); QuarantineFile('C:\WINDOWS\kbnptac.dll',''); DeleteFile('C:\WINDOWS\system32\rgadtm.dll'); DeleteFile('C:\WINDOWS\System32\systool16b.dll'); DeleteFile('C:\WINDOWS\system32\drivers\fips32cup.sys'); DeleteFile('C:\WINDOWS\system32\drivers\ksi32sk.sys'); DeleteFile('C:\WINDOWS\system32\drivers\netsik.sys'); DeleteFile('C:\WINDOWS\system32\drivers\nicsk32.sys'); DeleteFile('C:\WINDOWS\System32\DRIVERS\nups.sys'); DeleteFile('C:\WINDOWS\system32\drivers\securentm.sys'); DeleteFile('C:\WINDOWS\system32\drivers\systemntmi.sys'); DeleteFile('C:\WINDOWS\system32\sdra64.exe'); DeleteFile('C:\Documents and Settings\User\Local Settings\Temp\KB812394.exe'); DeleteFile('C:\Documents and Settings\User\restorer64_a.exe'); DeleteFile('C:\WINDOWS\system32\restorer64_a.exe'); DeleteFile('C:\WINDOWS\system32\systool16b.dll'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; ExecuteRepair(6); ExecuteRepair(11); ExecuteRepair(17); RebootWindows(true); end.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте еще такой лог:
http://virusinfo.info/showthread.php?t=40118.
Сделайте новые логи.
Последний раз редактировалось snifer67; 18.11.2009 в 17:01.
+snifer67 сделайте это
Пофиксить в Hijack следующие строки:
Выполнить скриптКод:F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\userinit.exe,C:\WINDOWS\system32\sdra64.exe, O20 - AppInit_DLLs: systool16b.dll, O20 - Winlogon Notify: rgadtm - C:\WINDOWS\SYSTEM32\rgadtm.dll
Закачайте карантин по ссылке Прислать запрошенный карантин в шапке Вашей темы (Приложение 3 правил).Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\kbnptac.dll',''); QuarantineFile('C:\WINDOWS\system32\drivers\fips32cup.sys',''); DeleteService('fips32cup'); QuarantineFile('C:\WINDOWS\system32\drivers\ksi32sk.sys',''); DeleteService('ksi32sk'); QuarantineFile('C:\WINDOWS\system32\drivers\netsik.sys',''); DeleteService('netsik'); QuarantineFile('C:\WINDOWS\system32\drivers\nicsk32.sys',''); DeleteService('nicsk32'); QuarantineFile('C:\WINDOWS\System32\DRIVERS\nups.sys',''); DeleteService('Nups'); QuarantineFile('C:\WINDOWS\system32\drivers\securentm.sys',''); DeleteService('securentm'); QuarantineFile('C:\WINDOWS\system32\drivers\systemntmi.sys',''); DeleteService('systemntmi'); QuarantineFile('C:\WINDOWS\system32\sdra64.exe',''); QuarantineFile('C:\WINDOWS\userinit.exe',''); QuarantineFile('rgadtm.dll',''); QuarantineFile('C:\WINDOWS\system32\systool16b.dll',''); DeleteFile('C:\WINDOWS\system32\systool16b.dll'); DeleteFile('C:\WINDOWS\userinit.exe'); DeleteFile('C:\WINDOWS\system32\sdra64.exe'); DeleteFile('C:\WINDOWS\system32\drivers\systemntmi.sys'); DeleteFile('C:\WINDOWS\system32\drivers\securentm.sys'); DeleteFile('C:\WINDOWS\System32\DRIVERS\nups.sys'); DeleteFile('C:\WINDOWS\system32\drivers\nicsk32.sys'); DeleteFile('C:\WINDOWS\system32\drivers\netsik.sys'); DeleteFile('C:\WINDOWS\system32\drivers\ksi32sk.sys'); DeleteFile('C:\WINDOWS\system32\drivers\fips32cup.sys'); DeleteFile('C:\WINDOWS\system32\rgadtm.dll'); DeleteFile('C:\WINDOWS\kbnptac.dll'); BC_ImportAll; ExecuteSysClean; Executerepair(5); Executerepair(6); Executerepair(8); Executerepair(11); Executerepair(13); Executerepair(17); BC_Activate; RebootWindows(true); end.
Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению
+ Сделайте лог Gmer
Последний раз редактировалось Шапельский Александр; 18.11.2009 в 17:17.
После выполнения скриптов
ОТКЛЮЧИТЕ ВОССТАНОВЛЕНИЯ СИСТЕМЫ !!!
Сохраните текст ниже как cleanup.bat в ту же папку, где находится f8cdmrix.exe (gmer)
И запустите cleanup.bat. Компьютер перезагрузится. Сделать новый лог gmerКод:gmer.exe -del service fxfluwxmj gmer.exe -del service ziawovmxh gmer.exe -del file "C:\WINDOWS\system32\grjck.dll" gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\fxfluwxmj" gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\ziawovmxh" gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\fxfluwxmj" gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\ziawovmxh" gmer.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\fxfluwxmj" gmer.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\ziawovmxh" gmer.exe -reboot
Лог Gmer.
В логе чисто, что с проблемой?
Обновите, иначе будут проблемы!Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Придется накатить мешок обновлений.
Спасибо!
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 25
- В ходе лечения обнаружены вредоносные программы:
- c:\windows\kbnptac.dll - Trojan-Downloader.Win32.Mufanom.gdf ( DrWEB: Trojan.DownLoad.45065, BitDefender: Trojan.Packed.Hiloti.Gen.1, AVAST4: Win32:Hilot [Trj] )
Уважаемый(ая) Sergey Citnikov, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.