при загрузке выскакивает окно, что при загрузке не удалось подгрузить smss.exe
обычными методами удалять не получается
при загрузке выскакивает окно, что при загрузке не удалось подгрузить smss.exe
обычными методами удалять не получается
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
- Системное восстановление
Пофиксите в hijackthis -
Выполните скрипт в АВЗ -Код:F2 - REG:system.ini: Shell=explorer.exe c:\Recycler\smss.exe
После выполнения скрипта компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(true); DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true); QuarantineFile('C:\RECYCLER\S-1-5-21-6776556558-8718796786-538465867-9065\hdav.exe',''); QuarantineFile('H:\autorun.inf',''); QuarantineFile('c:\Recycler\smss.exe',''); DeleteFile('c:\Recycler\smss.exe'); DeleteFile('C:\RECYCLER\S-1-5-21-6776556558-8718796786-538465867-9065\hdav.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman'); BC_ImportAll; ExecuteSysClean; ExecuteWizard('TSW',2,2,true); ExecuteRepair(8); ExecuteRepair(11); BC_Activate; RebootWindows(true); end.
После перезагрузки:
- выполните такой скрипт
Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.Код:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
- Прокси Вы прописывали? -- Обновите базы АВЗКод:R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.0.1:3128
- Сделайте лог Гмер
да, у нас локалка. и в настройках именно этот прокси указан.
спасибо, что так быстро. пошла выполнять
лог Гмер выполнить не удалось вчера. после экспресс-проверки появлялось сообщение - система модифицирована руткитами, и предложение начать новую полную проверку. начиналась проверка и все повисало. пробовала три раза. сегодня попробую поотключать все службы, и еще раз попробовать сделать лог, но мне кажется, что это мало поможет
пока могу прислать только карантин, как приду на работу. надо?
Последний раз редактировалось Deya_; 10.12.2010 в 07:21.
- Сохраните текст ниже как 1.bat в ту же папку, где находится le1vpjn7.exe(GMER) и запустите этот батник(1.bat):
Компьютер перезагрузится.Код:le1vpjn7.exe -del service bopdyt le1vpjn7.exe -del service flosmn le1vpjn7.exe -del service kkbcai le1vpjn7.exe -del file "C:\WINDOWS\system32\srvawxtb.dll" le1vpjn7.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\bopdyt" le1vpjn7.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\flosmn" le1vpjn7.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\kkbcai" le1vpjn7.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\bopdyt" le1vpjn7.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\flosmn" le1vpjn7.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\kkbcai" le1vpjn7.exe -reboot
После перезагрузки:
- Сделайте повторные логи АВЗ
- Сделайте новый лог Gmer
запускаю батник. три сроки на черном экране и вываливается в синий экран
- Сделайте повторные логи АВЗ
- Сделайте новый лог Gmer
2 часа пыталась сделать лог гмер. не выходит. виснет и все тут. не получается меня с ним. на экспресс проверке руткитов не нашел.
логи авз + картинка при загрузке
теперь наверное попробую лог гмер только в пн сделать. спасибо за помощь
специально ходила на работу - не могу переделать лог гмер. виснет на полном сканировании. беспричинно. что делать?
Обращаю Ваше внимание - Файл quarantine.zip Вами не был прислан правильно, вместо него в форму загрузки попал какой-то мусор в виде баз АВЗ. Будьте впредь внимательны, такого повториться не должно.
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
- Системное восстановление
Выполните скрипт в АВЗ -
После выполнения скрипта компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(true); DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true); QuarantineFile('c:\recycler\smss.exe',''); DeleteFile('c:\recycler\smss.exe'); QuarantineFile('C:\WINDOWS\system32\XP-6F81531A.EXE',''); QuarantineFile('C:\WINDOWS\system32\kavo.exe',''); DeleteFile('C:\WINDOWS\system32\kavo.exe'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','kava'); DeleteFile('C:\WINDOWS\system32\XP-6F81531A.EXE'); BC_ImportAll; ExecuteSysClean; ExecuteWizard('TSW',2,2,true); ExecuteRepair(16); BC_Activate; RebootWindows(true); end.
После перезагрузки:
- выполните такой скрипт
Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.Код:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
- Повторите логи
простите, даже не знаю как я так...
новые логи
Что с проблемой? Плохого не вижу.
окно выскакивает про smss.exe при загрузке. работает лучше. можно его убрать?
Сделайте лог ComboFix
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
вот
и при загрузке по прежнему вот это сообщение про точку входа
http://virusinfo.info/attachment.php...0&d=1291990229
Последний раз редактировалось Deya_; 14.12.2010 в 12:24.
ну пожалуйста, не бросайте нас. допомогите уж до конца
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.Код:KillAll:: File:: Driver:: kkbcai flosmn bopdyt NetSvc:: kkbcai flosmn bopdyt Folder:: Registry:: [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "8665:TCP"=- FileLook:: DirLook::
Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
лог.
вскакивают те же окошки + новое добавилось
Уважаемый(ая) Deya_, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.