сильно тормозит комп

[Deya_]

при загрузке выскакивает окно, что при загрузке не удалось подгрузить smss.exe
обычными методами удалять не получается

[olejah]

Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
- Системное восстановление

Пофиксите в hijackthis -

Код:

F2 - REG:system.ini: Shell=explorer.exe c:\Recycler\smss.exe

Выполните скрипт в АВЗ -

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
 QuarantineFile('C:\RECYCLER\S-1-5-21-6776556558-8718796786-538465867-9065\hdav.exe','');
 QuarantineFile('H:\autorun.inf','');
 QuarantineFile('c:\Recycler\smss.exe','');
 DeleteFile('c:\Recycler\smss.exe');
 DeleteFile('C:\RECYCLER\S-1-5-21-6776556558-8718796786-538465867-9065\hdav.exe');  
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
 BC_ImportAll;
 ExecuteSysClean;
 ExecuteWizard('TSW',2,2,true);
 ExecuteRepair(8);
 ExecuteRepair(11);
 BC_Activate;
 RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- выполните такой скрипт

Код:

begin
  CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
 end.

Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.

- Прокси Вы прописывали? -

Код:

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.0.1:3128

- Обновите базы АВЗ

- Сделайте лог Гмер

[Deya_]

да, у нас локалка. и в настройках именно этот прокси указан.
спасибо, что так быстро. пошла выполнять

[Deya_]

лог Гмер выполнить не удалось вчера. после экспресс-проверки появлялось сообщение - система модифицирована руткитами, и предложение начать новую полную проверку. начиналась проверка и все повисало. пробовала три раза. сегодня попробую поотключать все службы, и еще раз попробовать сделать лог, но мне кажется, что это мало поможет
пока могу прислать только карантин, как приду на работу. надо?

[olejah]

Конечно надо -

Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.

[Deya_]

Конечно надо -

я просто думала что без гмера он вам шибко нужен.
снесла авиру, получилось сделать лог гмер. и высылаю карантин.
апд.только пароль забыла к архиву сделать)), каюсь

[olejah]

- Сохраните текст ниже как 1.bat в ту же папку, где находится le1vpjn7.exe(GMER) и запустите этот батник(1.bat):

Код:

le1vpjn7.exe -del service bopdyt
le1vpjn7.exe -del service flosmn
le1vpjn7.exe -del service kkbcai
le1vpjn7.exe -del file "C:\WINDOWS\system32\srvawxtb.dll"
le1vpjn7.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\bopdyt"
le1vpjn7.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\flosmn"
le1vpjn7.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\kkbcai"
le1vpjn7.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\bopdyt"
le1vpjn7.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\flosmn"
le1vpjn7.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\kkbcai"
le1vpjn7.exe -reboot

Компьютер перезагрузится.

После перезагрузки:
- Сделайте повторные логи АВЗ
- Сделайте новый лог Gmer

[Deya_]

запускаю батник. три сроки на черном экране и вываливается в синий экран

[snifer67]

- Сделайте повторные логи АВЗ
- Сделайте новый лог Gmer

[Deya_]

2 часа пыталась сделать лог гмер. не выходит. виснет и все тут. не получается меня с ним. на экспресс проверке руткитов не нашел.

логи авз + картинка при загрузке

теперь наверное попробую лог гмер только в пн сделать. спасибо за помощь

[Deya_]

специально ходила на работу - не могу переделать лог гмер. виснет на полном сканировании. беспричинно. что делать?

[olejah]

Обращаю Ваше внимание - Файл quarantine.zip Вами не был прислан правильно, вместо него в форму загрузки попал какой-то мусор в виде баз АВЗ. Будьте впредь внимательны, такого повториться не должно.

Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
- Системное восстановление

Выполните скрипт в АВЗ -

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
 QuarantineFile('c:\recycler\smss.exe','');
 DeleteFile('c:\recycler\smss.exe');  
 QuarantineFile('C:\WINDOWS\system32\XP-6F81531A.EXE','');
 QuarantineFile('C:\WINDOWS\system32\kavo.exe','');
 DeleteFile('C:\WINDOWS\system32\kavo.exe');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','kava');
 DeleteFile('C:\WINDOWS\system32\XP-6F81531A.EXE');  
 BC_ImportAll;
 ExecuteSysClean;
 ExecuteWizard('TSW',2,2,true);
 ExecuteRepair(16);
 BC_Activate;
 RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- выполните такой скрипт

Код:

begin
  CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
 end.

Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.

- Повторите логи

[Deya_]

простите, даже не знаю как я так...
новые логи

[olejah]

Что с проблемой? Плохого не вижу.

[Deya_]

окно выскакивает про smss.exe при загрузке. работает лучше. можно его убрать?

[thyrex]

Сделайте лог ComboFix

[Deya_]

вот
и при загрузке по прежнему вот это сообщение про точку входа
http://virusinfo.info/attachment.php...0&d=1291990229

[Deya_]

ну пожалуйста, не бросайте нас. допомогите уж до конца

[thyrex]

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.

Код:

KillAll::

File::

Driver::
kkbcai
flosmn
bopdyt

NetSvc::
kkbcai
flosmn
bopdyt

Folder::

Registry::
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"8665:TCP"=-

FileLook::

DirLook::

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.

[Deya_]

лог.
вскакивают те же окошки + новое добавилось