Собственно после установки дров при загрузки появляется табличка нельзя открыть файл 57.tmp . Nod32 начал ругатся и удалил файл теперь он показывает не удается найти этот файл.
Собственно после установки дров при загрузки появляется табличка нельзя открыть файл 57.tmp . Nod32 начал ругатся и удалил файл теперь он показывает не удается найти этот файл.
Выполните скрипт в AVZ:
Компьютер перезагрузится. Пофиксите в HijackThis:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\System32\winIogon.exe',''); QuarantineFile('C:\WINDOWS\System32\auahw.exe',''); RebootWindows(true); end.
Файлы карантина AVZ пришлите согласно приложению 3 правил.Код:F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\57.tmp
скрипт выполнил пишит, что ошибка и ничего в карантине не сохраняет
Последний раз редактировалось psywalker; 19.03.2007 в 03:41.
Попробуем такой скрипт:
После перезагрузки прикрепите к теме файл boot_clr.log из папки с AVZ.Код:begin BC_QrFile('C:\WINDOWS\System32\winIogon.exe'); BC_QrFile('C:\WINDOWS\System32\auahw.exe'); BC_LogFile(GetAVZDirectory + 'boot_clr.log') ; BC_Activate; RebootWindows(true); end.
Если в карантине что-то будет, пришлите согласно приложению 3 правил.
вот
"пофиксите" в HijackThis
Выполните скрипт в AVZКод:O4 - HKLM\..\Run: [Windows Logon Application] C:\WINDOWS\System32\winIogon.exe O4 - HKLM\..\Run: [Advanced DHTML Enable] C:\WINDOWS\System32\auahw.exe O4 - HKLM\..\Run: [Microsoft (R) Windows Protocol Deployment Manager] C:\WINDOWS\system32\57.tmp O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - O23 - Service: Windows Protocol Deployment Manager (PDM) - Unknown owner - C:\WINDOWS\system32\57.tmp (file missing)
После перезагрузки Выполните ещё один скрипт в AVZКод:begin SearchRootkit(true, true); SetAVZGuardStatus(True); ExecuteRepair(8); ExecuteRepair(9); ExecuteRepair(16); RebootWindows(true); end.
После ещё одной перезагрузки все, что попадет в карантин пришлите по правилам раздела.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); ClearQuarantine; QuarantineFile('C:\WINDOWS\system32\57.tmp',''); QuarantineFile('C:\WINDOWS\System32\winIogon.exe',''); QuarantineFile('C:\WINDOWS\System32\auahw.exe',''); RebootWindows(true); end.
Последний раз редактировалось Макcим; 19.03.2007 в 16:22.
Выполните скрипт в AVZ:
После перезагрузки пофиксите в HijackThis:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('C:\WINDOWS\System32\auahw.exe'); DeleteFile('C:\WINDOWS\System32\winIogon.exe'); DeleteFile('C:\WINDOWS\system32\57.tmp'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Еще раз перезагрузитесь и сделайте новые логи п.10 и 12 правил.Код:F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\57.tmp O23 - Service: Windows Protocol Deployment Manager (PDM) - Unknown owner - C:\WINDOWS\system32\57.tmp (file missing)
логи
жалуется на файл C:\WINDOWS\system32\Drivers\sptd.sys
В карантин что-нибудь попало? Чьи скрипты выполняли?
Следов зверя больше не видно.
Вот это сами в хосты прописывали?
Если нет, и имена серверов ни о чем не говорят, то пофиксить.Код:O1 - Hosts: 87.242.89.182 nprotect.lineage2.com O1 - Hosts: 87.242.89.182 update.nprotect.com O1 - Hosts: 87.242.89.182 update.nprotect.net O1 - Hosts: 87.242.89.181 l2authd.lineage2.com O1 - Hosts: 87.242.89.181 l2testauthd.lineage2.com
А что говорит про sptd?
Да, вот еще косячок остался: в реестре параметр
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows NT\CurrentVersion\Windows\Load со значением C:\WINDOWS\system32\57.tmp.
Хайджек его не видит, надо бы удалить в Regedit, сможете?
В карантине файлов нет, скрипты выполнил и те и другие.
2 последние я прописывал, 3 первые я на всякий случай удалили
Вот логи из AVZ
Вот еще подозрениеКод:Функция NtCreateKey (29) перехвачена (80618E8A->F73820B0), перехватчик C:\WINDOWS\system32\Drivers\sptd.sys >>> Функция воcстановлена успешно ! >>> Код перехватчика нейтрализован Функция NtEnumerateKey (47) перехвачена (806196CA->F7387A92), перехватчик C:\WINDOWS\system32\Drivers\sptd.sys >>> Функция воcстановлена успешно ! >>> Код перехватчика нейтрализован Функция NtEnumerateValueKey (49) перехвачена (80619934->F7387E20), перехватчик C:\WINDOWS\system32\Drivers\sptd.sys >>> Функция воcстановлена успешно ! >>> Код перехватчика нейтрализован Функция NtOpenKey (77) перехвачена (8061A220->F7382090), перехватчик C:\WINDOWS\system32\Drivers\sptd.sys >>> Функция воcстановлена успешно ! >>> Код перехватчика нейтрализован Функция NtQueryKey (A0) перехвачена (8061A544->F7387EF8), перехватчик C:\WINDOWS\system32\Drivers\sptd.sys >>> Функция воcстановлена успешно ! >>> Код перехватчика нейтрализован Функция NtQueryValueKey (B1) перехвачена (80616F44->F7387D78), перехватчик C:\WINDOWS\system32\Drivers\sptd.sys >>> Функция воcстановлена успешно ! >>> Код перехватчика нейтрализован Функция NtSetValueKey (F7) перехвачена (8061754A->F7387F8A), перехватчик C:\WINDOWS\system32\Drivers\sptd.sys >>> Функция воcстановлена успешно ! >>> Код перехватчика нейтрализован
ключ из реестра удалилКод:C:\Documents and Settings\Валерий\Local Settings\Temporary Internet Files\Content.IE5\AZE2TKJV\ZFBCLEAN[1].ZIP Invalid file - not a PKZip file C:\Documents and Settings\Валерий\Local Settings\Temporary Internet Files\Content.IE5\VTR8T5O4\ZFDCLEAN[1].ZIP Invalid file - not a PKZip file
Последний раз редактировалось Макcим; 02.05.2007 в 17:14.
Насчет sptd.sys - все ОК, это легитимный драйвер, просто антируткит отключает его перехваты. Второе подозрение тоже безосновательно.
Теперь у Вас все чисто!ключ из реестра удалил
Очистите кэш IE
Имелось ввиду "чисто в системе", а что там вообще на дисках - отсюда ж не видно . В данном случае можно просто почистить временные файлы IE (в "Свойствах оборзевателя"). Ну и конечно просканировать весь комп антивирусом со свежими базами, это кстати в правилах написано в п.1.
Спасибо всем за помощь)
Вы можете нас отблагодарить так Мы будем Вам очень благодарны!
Уважаемый(ая) psywalker, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.