Download Master

[Mase4ka87]

Здрвствуйте! вот такая вот фигня появилась... второй день мучаюсь... ничего не запускается... кое как удалось сделать лог HJ. Лог прилагаю

[PavelA]

Попробуйте AVZ из моей подписи.

Добавлено через 7 минут

Профиксить:

Код:

O4 - HKLM\..\Run: [userini] C:\WINDOWS\system32\userini.exe
O4 - HKLM\..\Policies\Explorer\Run: [userini] C:\WINDOWS\system32\userini.exe
O4 - HKCU\..\Policies\Explorer\Run: [userini] C:\WINDOWS\system32\userini.exe
O20 - AppInit_DLLs: C:\WINDOWS\system32\cntsqa.dll

[Mase4ka87]

не получается... логи только в HJ

[Mase4ka87]

кто нить ответьте.....

Добавлено через 31 минуту

аууууууууууууууу

[миднайт]

Закройте/выгрузите все программы кроме AVZ и Internet Explorer.

- Отключите ПК от интернета/локалки
- Отключите Антивирус и Файрвол.
- Отключите Системное восстановление.

В HiJackThis пофиксите:

Код:

O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O20 - AppInit_DLLs: C:\WINDOWS\system32\gke.dll

Если хоть какойто AVZ запускается выполните скрипт:

Код:

begin
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\gke.dll','');
 DeleteFile('C:\WINDOWS\system32\gke.dll','');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После перезагрузки
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы.
Если нет, то заархивируйте файл C:\WINDOWS\system32\gke.dll с паролем virus и пришлите его по правилам.
Затем запустите hijackthis - Open a Misc Tool section - Delete a file on Reboot - укажите файл C:\WINDOWS\system32\gke.dll
Перезагрузитесь, сделайте все логи.

[Mase4ka87]

чтото получилося.... проверил комп Kasperesky Rescue Disk 8.8.1.36 Build 26.12.2009 он поудалял 320 файликов... запустился авз и тп.... логи прилагаются...

есть кто нить?

[миднайт]

логи прилагаются...

где?

[Mase4ka87]

мда.... ну кто нибудь посмотрете... а то клиенту комп отвозить надо...

ой.... видимо вложение когда чистила все удалилось... счас прикреплю=)

[Mase4ka87]

[PavelA]

выполнить:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\gke.dll','');
DeleteFile('C:\WINDOWS\system32\gke.dll');
DelCLSID('67KLN5J0-4OPM-00WE-AAX5-77EF1D187563');
 QuarantineFile('C:\RESTORE\k-1-3542-4232123213-7676767-8888886\Wins32.exe','');
 DeleteFile('C:\RESTORE\k-1-3542-4232123213-7676767-8888886\Wins32.exe');
ExecuteRepair(1);
ExecuteRepair(6);
ExecuteRepair(8);
ExecuteRepair(11);
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Прислать заново логи.
Загрузить карантин по Правилам.

[Mase4ka87]

вот логи....

[PavelA]

Карантин надо прислать.
Выполнить:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteService('yojkjbbqb');
 QuarantineFile('yojkjbbqb.sys','');
 DeleteFile('yojkjbbqb.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

сделать лог Гмер.
Повторить логи AVZ

[Mase4ka87]

карантин отправлен. логи прилагаются

[PavelA]

C:\WINDOWS\system32\ttuxck.dll -- прислать, если найдется.

[Mase4ka87]

просто прикрепить?

Добавлено через 2 минуты

нету такого

[PavelA]

Нет. Найти через AVZ, загнать в карантин и прислать только его.

Для Гмера бат-файл я напишу, или мои коллеги.

[thyrex]

Сохраните текст ниже как cleanup.bat в ту же папку, где находится gmer.exe (gmer)

Код:

gmer.exe -del service Irsvc
gmer.exe -del file "C:\WINDOWS\system32\ttuxck.dll"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\Irsvc"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\Irsvc"
gmer.exe -reboot

И запустите cleanup.bat.
Компьютер перезагрузится!

Сделать новый лог gmer.

[Mase4ka87]

вот новый лог gmer

[миднайт]

В логе чисто

[Mase4ka87]

Всем спасибо за помощь! С НАСТУПАЮЩИМ!!!