разрыв соединения с интернетом, невозможность запустить cure_it

[nkrdbl]

не могу запустить cure it. пишет "срок действия лицензионного ключа истёк"

постоянно обрывается соединение (почти сразу же), помогает шаманство вроде:
интернет начинает работать только после отключения каких-то процессов и удаления из корня "C" подозрительного файла u5c9o2t1i5d4.exe 76,0 КБ (77*868 байт) с последующей заменой имени и расширения любого текстого файла на u5c9o2t1i5d4.exe

(если надо, могу ещё выложить лог prevx'a, он там многое что обнаружил)

P.S. - хронически не могу загрузиться в бесопасно режиме - выскакивает синий экран. ПОэтому все процедуры проводились в обычном режиме

[thyrex]

Выполните скрипт в AVZ

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('G:\RECYCLER\S-51-9-25-3434476501-1644491933-601014513-1214\Instmsx.exe','');
 QuarantineFile('G:\autorun.inf','');
 QuarantineFile('D:\autorun.wsh','');
 QuarantineFile('C:\autorun.wsh','');
 QuarantineFile('C:\autorun.exe','');
 DelBHO('{201f27d4-3704-41d6-89c1-aa35e39143ed}');
 DelBHO('{3041d03e-fd4b-44e0-b742-2d9b88305f98}');
 QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
 QuarantineFile('C:\WINDOWS\system32\drivers\Instmsx.exe','');
 QuarantineFile('C:\RECYCLER\S-1-5-21-0076258761-8282067211-789184825-3618\wmfcgr.exe','');
 QuarantineFile('gqtyyur.sys','');
 DeleteService('gqtyyur');
 QuarantineFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\ld7UioB3.sys','');
 DeleteFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\ld7UioB3.sys');
 DeleteFile('gqtyyur.sys');
 DeleteFile('C:\RECYCLER\S-1-5-21-0076258761-8282067211-789184825-3618\wmfcgr.exe');
 DeleteFile('C:\WINDOWS\system32\drivers\Instmsx.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
 DeleteFile('C:\WINDOWS\system32\sdra64.exe');
 RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','userinit');
 RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','userinit');
 DeleteFile('C:\Program Files\AskBarDis\bar\bin\askBar.dll');
 DeleteFile('C:\autorun.exe');
 DeleteFile('C:\autorun.wsh');
 DeleteFile('D:\autorun.wsh');
 DeleteFile('G:\autorun.inf');
 DeleteFile('G:\RECYCLER\S-51-9-25-3434476501-1644491933-601014513-1214\Instmsx.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(10);
RebootWindows(true);
end.

Компьютер перезагрузится.

Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

Сделайте новые логи

[nkrdbl]

c интернетом теперь все в порядке, с cure it проблема осталась

[nkrdbl]

карантин отправил кста

[thyrex]

Как давно скачивали CureIt?

Выполните скрипт в AVZ

Код:

begin
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
RebootWindows(true);
end.

Компьютер перезагрузится.

Сделайте новый лог virusinfo_syscheck.zip

[nkrdbl]

починился Сэйфмод

сделал лог и прикрепил ещё лог prevx'a (может поможет чем либо)
Cure it 5 дневной свежести, сейчас качаю новую, вот уже вторые сутки качается, никак выкачаться не может...

кстати, до того, как обратился сюда, пытался сам что то полечить - убил червяка кидокиллером ... надеюсь эта инфа тоже чем либо поможет.

[nkrdbl]

скачал свежий Cure it, он заработал, в сейфмоде удалил пару вирусов, вот новый лог

[thyrex]

Пофиксите в HiJack

Код:

F2 - REG:system.ini: UserInit=userinit.exe,
O3 - Toolbar: QT Breadcrumbs Address Bar - {af83e43c-dd2b-4787-826b-31b17dee52ed} - mscoree.dll (file missing)

Больше ничего плохого

Установите Internet Explorer 8
Установите Adobe Acrobat 9.3 или удалите старый

[nkrdbl]

спасибо огромное. и ещё такая проблемка - я не могу в свойствах папки поменять параметр "показывать скрытые файлы и папки"...
и меня интересует вот, а что это за строки в протоколе Avz?

>>> C:\WINDOWS\system32\sfcfiles.dll ЭПС: подозрение на Файл с подозрительным именем (CH) (высокая степень вероятности)
>>> C:\WINDOWS\system32\comres.dll ЭПС: подозрение на Файл с подозрительным именем (CH) (высокая степень вероятности)
>>> C:\WINDOWS\system32\ntoskrnl.exe ЭПС: подозрение на Файл с подозрительным именем (CH) (высокая степень вероятности)
>>> C:\WINDOWS\system32\ntkrnlpa.exe ЭПС: подозрение на Файл с подозрительным именем (CH) (высокая степень вероятности)
>>> C:\WINDOWS\system32\msdtc.exe ЭПС: подозрение на Файл с подозрительным именем (CH) (высокая степень вероятности)
>>> C:\WINDOWS\system32\cscript.exe ЭПС: подозрение на Файл с подозрительным именем (CH) (высокая степень вероятности)

Функция NtAssignProcessToJobObject (13) перехвачена (805E839E->B14E3464), перехватчик C:\WINDOWS\System32\drivers\pxrts.sys
Функция NtCreateKey (29) перехвачена (80577925->F74DA0E0), перехватчик spfi.sys
Функция NtCreateThread (35) перехвачена (80586C43->B14E349E), перехватчик C:\WINDOWS\System32\drivers\pxrts.sys
Функция NtDeleteKey (3F) перехвачена (80593334->B14E3290), перехватчик C:\WINDOWS\System32\drivers\pxrts.sys
Функция NtDeleteValueKey (41) перехвачена (80591F8B->B14E3302), перехватчик C:\WINDOWS\System32\drivers\pxrts.sys
Функция NtEnumerateKey (47) перехвачена (80578E1C->F74F7CA2), перехватчик spfi.sys
Функция NtEnumerateValueKey (49) перехвачена (80587691->F74F8030), перехватчик spfi.sys
Функция NtOpenKey (77) перехвачена (80572BFC->F74DA0C0), перехватчик spfi.sys
Функция NtOpenProcess (7A) перехвачена (8058170A->B14E37B2), перехватчик C:\WINDOWS\System32\drivers\pxrts.sys
Функция NtOpenThread (80) перехвачена (805E1939->B14E368E), перехватчик C:\WINDOWS\System32\drivers\pxrts.sys
Функция NtProtectVirtualMemory (89) перехвачена (80581891->B14E352A), перехватчик C:\WINDOWS\System32\drivers\pxrts.sys
Функция NtQueryKey (A0) перехвачена (80578A1C->F74F810, перехватчик spfi.sys
Функция NtQueryValueKey (B1) перехвачена (8057303F->F74F7F8, перехватчик spfi.sys
Функция NtSetContextThread (D5) перехвачена (80635937->B14E3426), перехватчик C:\WINDOWS\System32\drivers\pxrts.sys
Функция NtSetValueKey (F7) перехвачена (80582294->B14E338E), перехватчик C:\WINDOWS\System32\drivers\pxrts.sys
Функция NtTerminateProcess (101) перехвачена (8058E695->B14E38E6), перехватчик C:\WINDOWS\System32\drivers\pxrts.sys
Функция NtTerminateThread (102) перехвачена (805838EF->B14E35AE), перехватчик C:\WINDOWS\System32\drivers\pxrts.sys
Функция NtWriteVirtualMemory (115) перехвачена (805885C2->B14E35E6), перехватчик C:\WINDOWS\System32\drivers\pxrts.sys

[thyrex]

Выполните скрипт в AVZ

Код:

begin
ExecuteRepair(6);
RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
RebootWindows(true);
end.

Компьютер перезагрузится.

Проверяйте показ скрытых файлов

На остальное не обращайте внимания. Перехватчики от антивируса и эмулятора дисков. Подозрения на файлы объясняются тем, что у Вас скорее всего сборка, а не лицензионная система

[nkrdbl]

а у меня нет антивируса то!
скрипт выполнил, показ скрытых файлов не работает до сих пор.

ещё вопрос - а на что это prevx ругается?
[Z] c:\windows\system32\drivers\iastor.sys [PX5: 45D2AE7718241B6AB45D04487B488800FCE0BC39] Malware Group: Malware Component
[BN] c:\windows\system32\drivers\gef7679.sys [PX5: 1AAA128E20709191B19900D6916E0A0012FDA12B] Malware Group: High Risk Rootkit
[B] c:\windows\system32\autorun.exe [PX5: 6732446900B8FDA7F00A0052F5ABFE00BD2000BF] Malware Group: High Risk System Back Door
[B] c:\windows\system32\autorun.~ex [PX5: 6732446900B8FDA7F00A0052F5ABFE000563073D] Malware Group: High Risk Worm

[thyrex]

ещё вопрос - а на что это prevx ругается?

А prevxразве не относится к антивирусному софту?

Проверьте в реестре в ветке

Код:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced

параметры ShowSuperHidden, SuperHidden, Hidden на предмет равенства "1" (это правильное значение)

А также в ветке

Код:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL

параметр "CheckedValue" тоже должен быть "1"

[nkrdbl]

А prevxразве не относится к антивирусному софту?

Проверьте в реестре в ветке

Код:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced

параметры ShowSuperHidden, SuperHidden, Hidden на предмет равенства "1" (это правильное значение)

А также в ветке

Код:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL

параметр "CheckedValue" тоже должен быть "1"

ну он бесплатно только сканит, лечить не лечит.
А редактор реестра не запускается. "библиотека aclui.dll не является образом программы для windows NT"

Добавлено через 2 часа 49 минут

поможете то?

Добавлено через 2 часа 30 минут

как пофиксить регедит не подскажете?

[thyrex]

Попробуйте сделать лог http://virusinfo.info/showpost.php?p=493610&postcount=1

[nkrdbl]

комбофикс запускал уже но не по правилам (голова уже не соображала ничего к тому моменту) - то есть просто как скачал, сразу же запустил, не закрыв программ некоторых (насколько это критично?)
он тоже несмог там открыть редактор реестра, потребовал aclui.dll, который я в последствии скачал с локалки у кого то и после этого редактор реестра заработал.

В указанных вами строках действительно были неверные параметры, которые я изменил на верные (значение "1") и показ скрытых файлов заработал.

на диске Ц появились папки, которых раньше не замечал:
C:\cmdcons (скрытая)
C:\9556ef11f1bc6ed95903426694d4

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 33
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\recycler\s-1-5-21-0076258761-8282067211-789184825-3618\wmfcgr.exe - P2P-Worm.Win32.Palevo.xym ( BitDefender: Gen:Heur.VB.Krypt.12, AVAST4: Win32:Malware-gen )
  2. c:\windows\system32\drivers\instmsx.exe - Net-Worm.Win32.Kolab.hfw ( DrWEB: BackDoor.IRC.Bot.173, BitDefender: Trojan.Agent.VB.BHV, AVAST4: Win32:Malware-gen )
  3. g:\recycler\s-51-9-25-3434476501-1644491933-601014513-1214\instmsx.exe - Net-Worm.Win32.Kolab.hfw ( DrWEB: BackDoor.IRC.Bot.173, BitDefender: Trojan.Agent.VB.BHV, AVAST4: Win32:Malware-gen )