Отличительная особенность: вместо времени на мониторе- написано fool ...(имя пользователя).
Вот такоя проблема. Как бороться? Как вылечить?
| QUOTE (dream82 @ 07.09.2008 - время: 18:47) |
| Поймал вирус "fool". |
Знаем этого гада.. Don't panic..
Если не охота переустанавливать систему, необходимо
скачать:
http://www.trendsecure.com/portal/en-US/th...is.zip(запустиь её с жесткого диска(раб. стола) нажать на кнопку "ду а систем скан энд сэйф лог" от имени админа.))) Лог сохраница в папке, в которой лежит хайджек.
http://z-oleg.com/avz4.zip и обновить базы.(файл\обновление баз..) и сделать логи(файл\стандартные скрипты\выполнить скрипт №3)
Лог делать от имени " админа", закрыв все приложения , что сможешь закрыть.
Лог сосхранится в папке AVZ.
Все логи(что сохранились) выложить в следующем сообщении.
Вот лог из хайджек:
--------------------------------------------------
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at fool Gal, on 07.09.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\ICQLite\ICQLite.exe
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\Download Master\dmaster.exe
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yandex.ru/
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Program Files\ICQToolbar\tbu3\toolbaru.dll
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\Program Files\ICQToolbar\tbu3\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\ievkbd.dll
O2 - BHO: IE 4.x-6.x BHO for Download Master - {9961627E-4059-41B4-8E0E-A7D6B3854ADF} - C:\PROGRA~1\DOWNLO~1\dmiehlp.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4D91-8333-CF10577473F7} - C:\Documents and Settings\Gal\Google\googletoolbar1.dll (file missing)
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Program Files\ICQToolbar\tbu3\toolbaru.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: DM Bar - {0E1230F8-EA50-42A9-983C-D22ABC2EED3C} - C:\Program Files\Download Master\dmbar.dll
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [ICQ Lite] "C:\Program Files\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [ASUS SmartDoctor] C:\Program Files\ASUS\SmartDoctor\\SmartDoctor.exe /start
O4 - HKCU\..\Run: [Download Master] C:\Program Files\Download Master\dmaster.exe -autorun
O4 - HKCU\..\Run: [srvreg] C:\WINDOWS\system32\srvreg.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Program Files\ICQLite\ICQLite.exe -trayboot
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Program Files\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Добавить в Анти-Баннер - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\ie_banner_deny.htm
O8 - Extra context menu item: Закачать ВСЕ при помощи Download Master - C:\Program Files\Download Master\dmieall.htm
O8 - Extra context menu item: Закачать при помощи Download Master - C:\Program Files\Download Master\dmie.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Cтатистика защиты веб-трафика - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\SCIEPlgn.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Download Master - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - C:\Program Files\Download Master\dmaster.exe
O9 - Extra 'Tools' menuitem: &Download Master - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - C:\Program Files\Download Master\dmaster.exe
O9 - Extra button: Справочные материалы - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {1E54D648-B804-468d-BC78-4AFFED8E262E} (System Requirements Lab) - http://www.nvidia.com/content/DriverDownlo.../sysreqlab3.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupd...b?1218109383016
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftu...b?1218173181349
O16 - DPF: {74DBCB52-F298-4110-951D-AD2FF67BC8AB} (NVIDIA Smart Scan) - http://www.nvidia.com/content/DriverDownlo...iaSmartScan.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd.dll,C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd3.dll,C:\PROGRA~1\KASPER~1\KASPER~1\adialhk.dll,C:\PROGRA~1\KASPER~1\KASPER~1\kloehk.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Kaspersky Internet Security (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
--
End of file - 7338 bytes
---------------------------------------------------
вторая ссылка в твоем сообщении по-моему не работает
Это сообщение отредактировал dream82 - 07-09-2008 - 20:15
АВЗ\файл\выполонить скрипт \скопировать что я написал в окошко\ и запустить:
| QUOTE |
begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile(''C:\WINDOWS\system32\nwiz.exe,''); QuarantineFile(''C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll,''); QuarantineFile(''C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe,''); ExecuteSysClean; BC_Activate; RebootWindows(true); end. |
затем такой:
| QUOTE |
begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. |
Карантино(из папки АВЗ) залей куда либо и пришли ссылу.
Пока всё. Без лога АВЗ помогать нет возможности. Надо скачать ЕЁ и сделать ЕГО.=)
Необходимо отключить "восстановение системы!-важно!!!
Есть одна тонкость. Когда ставишь каспера(любой антивирус) на уже зараженную систему он не в силах излечить активное заражение, как правило. Так устроен мир. Но, всё же стОит обновив его базы, просканировать все разделы диска(ов).
Так же необходимо делать логи от имени "админа".
Обойти учётку админа можно, но способ противоречит правилам форума. Проще договорится о пароле с владельцем компа..=)
Это сообщение отредактировал Uncle Hips - 08-09-2008 - 02:45
------------------------
Attention !!! Database was last updated 06.04.2008 it is necessary to update the bases using automatic updates (File/Database update)
AVZ Antiviral Toolkit log; AVZ version is 4.30
Scanning started at 08.09.2008 12:47:45
Database loaded: signatures - 157571, NN profile(s) - 2, microprograms of healing - 55, signature database released 06.04.2008 17:09
Heuristic microprograms loaded: 370
SPV microprograms loaded: 9
Digital signatures of system files loaded: 70476
Heuristic analyzer mode: Medium heuristics level
Healing mode: enabled
Windows version: 5.1.2600, Service Pack 2 ; AVZ is launched with administrator rights
System Restore: enabled
1. Searching for Rootkits and programs intercepting API functions
1.1 Searching for user-mode API hooks
Analysis: kernel32.dll, export table found in section .text
Analysis: ntdll.dll, export table found in section .text
Analysis: user32.dll, export table found in section .text
Analysis: advapi32.dll, export table found in section .text
Analysis: ws2_32.dll, export table found in section .text
Analysis: wininet.dll, export table found in section .text
Analysis: rasapi32.dll, export table found in section .text
Analysis: urlmon.dll, export table found in section .text
Analysis: netapi32.dll, export table found in section .text
1.2 Searching for kernel-mode API hooks
Driver loaded successfully
SDT found (RVA=082480)
Kernel ntoskrnl.exe found in memory at address 804D7000
SDT = 80559480
KiST = 804E26A8 (284)
Functions checked: 284, intercepted: 0, restored: 0
1.3 Checking IDT and SYSENTER
Analysis for CPU 1
Checking IDT and SYSENTER - complete
1.4 Searching for masking processes and drivers
Checking not performed: extended monitoring driver (AVZPM) is not installed
Driver loaded successfully
1.5 Checking of IRP handlers
Checking - complete
2. Scanning memory
Number of processes found: 23
Number of modules loaded: 330
Scanning memory - complete
3. Scanning disks
Direct reading C:\Documents and Settings\All Users\Application Data\Kaspersky Lab\AVP8\Data\avB.tmp
File quarantined succesfully (C:\System Volume Information\_restore{58A97FE3-20F8-44F6-BF14-D96FC9EA02C8}\RP239\A0089488.exe)
C:\System Volume Information\_restore{58A97FE3-20F8-44F6-BF14-D96FC9EA02C8}\RP239\A0089488.exe >>>>> AdvWare.Win32.WhenU.a deleted successfully
C:\Женя\Программы закачки\Activation.rar/{RAR}/Activation\Windows XP Professional Origina\keyfinder.exe/{RAR-SFX}/officekey.exe >>>>> not-a-virus:PSWTool.Win32.RAS.a
Removing traces of deleted files...
4. Checking Winsock Layered Service Provider (SPI/LSP)
LSP settings checked. No errors detected
5. Searching for keyboard/mouse/windows events hooks (Keyloggers, Trojan DLLs)
C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd.dll --> Suspicion for Keylogger or Trojan DLL
C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd.dll>>> Behavioural analysis
Behaviour typical for keyloggers not detected
File quarantined succesfully (C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd.dll)
C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd3.dll --> Suspicion for Keylogger or Trojan DLL
C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd3.dll>>> Behavioural analysis
Behaviour typical for keyloggers not detected
File quarantined succesfully (C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd3.dll)
C:\PROGRA~1\KASPER~1\KASPER~1\adialhk.dll --> Suspicion for Keylogger or Trojan DLL
C:\PROGRA~1\KASPER~1\KASPER~1\adialhk.dll>>> Behavioural analysis
Behaviour typical for keyloggers not detected
File quarantined succesfully (C:\PROGRA~1\KASPER~1\KASPER~1\adialhk.dll)
C:\PROGRA~1\KASPER~1\KASPER~1\kloehk.dll --> Suspicion for Keylogger or Trojan DLL
C:\PROGRA~1\KASPER~1\KASPER~1\kloehk.dll>>> Behavioural analysis
Behaviour typical for keyloggers not detected
File quarantined succesfully (C:\PROGRA~1\KASPER~1\KASPER~1\kloehk.dll)
Note: Do NOT delete suspicious files, send them for analysis (see FAQ for more details), because there are lots of useful hooking DLLs
6. Searching for opened TCP/UDP ports used by malicious programs
Checking disabled by user
7. Heuristic system check
Latent loading of libraries through AppInit_DLLs suspected: "C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd.dll,C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd3.dll,C:\PROGRA~1\KASPER~1\KASPER~1\adialhk.dll,C:\PROGRA~1\KASPER~1\KASPER~1\kloehk.dll"
>>> E:\autorun.inf HSC: suspicion for hidden autorun (high degree of probability)
File quarantined succesfully (E:\autorun.inf)
Checking - complete
8. Searching for vulnerabilities
>> Services: potentially dangerous service allowed: RemoteRegistry (Remote Registry)
>> Services: potentially dangerous service allowed: TermService (Terminal Services)
>> Services: potentially dangerous service allowed: SSDPSRV (SSDP Discovery Service)
>> Services: potentially dangerous service allowed: TlntSvr (Telnet)
>> Services: potentially dangerous service allowed: Schedule (Task Scheduler)
>> Services: potentially dangerous service allowed: mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Services: potentially dangerous service allowed: RDSessMgr (Remote Desktop Help Session Manager)
> Services: please bear in mind that the set of services depends on the use of the PC (home PC, office PC connected to corporate network, etc)!
>> Security: administrative shares (C$, D$ ...) are enabled
>> Security: anonymous user access is enabled
Checking - complete
9. Troubleshooting wizard
Checking - complete
Files scanned: 132947, extracted from archives: 108491, malicious software found 2, suspicions - 0
Scanning finished at 08.09.2008 13:23:33
Time of scanning: 00:35:51
If you have a suspicion on presence of viruses or questions on the suspected objects,
you can address http://virusinfo.info conference
Creating archive of files from Quarantine
Creating archive of files from Quarantine - complete
System Analysis in progress
System Analysis - complete
| QUOTE (Uncle Hips @ 08.09.2008 - время: 00:00) | ||||
|
В первом случае пишет ошибку: ')' expected at position 4:18
Во-втором случае пишет:Script executed without errors
И еще. Если я не могу зайти как админ, все что мы делаем это безполезно?
| QUOTE |
| Attention !!! Database was last updated 06.04.2008 it is necessary to update the bases using automatic updates (File/Database update) |
Прежде чем выполнять лог необходимо было обновить базы-это было сделано?
| QUOTE |
| обновить базы.(файл\обновление баз..) |
| QUOTE (dream82 @ 08.09.2008 - время: 11:56) |
| В первом случае пишет ошибку: ')' expected at position 4:18 Во-втором случае пишет:Script executed without errors И еще. Если я не могу зайти как админ, все что мы делаем это безполезно? |
Пардон, я синтаксис не проверил.
Можешь найти эти файлы вручную и проверить их на предмет заразы, скажем здесь http://www.virustotal.com/ru/
Логи нужны от имени администратора. Из под ограниченного пользователя ничего не видно к сожалению. Можно провести полную проверку ftp://ftp.drweb.com/pub/drweb/cureit/launch.exe в безопасном (F8 при перезагрузке) режиме. Курит знает этого зловреда и должен справится.
| QUOTE (dream82 @ 09.09.2008 - время: 10:55) |
| Не получается запустить drweb в безопасном режиме. Вернее я не умею этого делать. Если не трудно, напишите мне пошагово как это делается. |
Во время перезагрузки(c начала загрузки), после BIOS, часто-часто нажимать клавишу F8. Появится экран с выбором способа загрузки. Нужно выбрать "безопазный режим"(SafeMode) и нажать клавишу Enter. После сканирования и лечения/удаления заразы, перезагрузиться. Запомнить или записать кого поймает CureIt и где(путь к файлу). Он вообще-то и сам сохраняет лог сканирования, но я забыл в какой папке=)
Но зато через "безопазный режим" нашел учетную запись Админа. Сделал ЛОГ АВЗ. Вот может он поможет.
----------------------------
AVZ Antiviral Toolkit log; AVZ version is 4.30
Scanning started at 10.09.2008 21:16:29
Database loaded: signatures - 157571, NN profile(s) - 2, microprograms of healing - 55, signature database released 06.04.2008 17:09
Heuristic microprograms loaded: 370
SPV microprograms loaded: 9
Digital signatures of system files loaded: 70476
Heuristic analyzer mode: Medium heuristics level
Healing mode: enabled
Windows version: 5.1.2600, Service Pack 2 ; AVZ is launched with administrator rights
System Restore: Disabled
System booted in Safe Mode
1. Searching for Rootkits and programs intercepting API functions
1.1 Searching for user-mode API hooks
Analysis: kernel32.dll, export table found in section .text
Analysis: ntdll.dll, export table found in section .text
Analysis: user32.dll, export table found in section .text
Analysis: advapi32.dll, export table found in section .text
Analysis: ws2_32.dll, export table found in section .text
Analysis: wininet.dll, export table found in section .text
Analysis: rasapi32.dll, export table found in section .text
Analysis: urlmon.dll, export table found in section .text
Analysis: netapi32.dll, export table found in section .text
1.2 Searching for kernel-mode API hooks
Driver loaded successfully
Driver communication failure [00000002] - [1]
1.4 Searching for masking processes and drivers
Checking not performed: extended monitoring driver (AVZPM) is not installed
Driver loaded successfully
Driver communication failure [00000002] - [1]
2. Scanning memory
Number of processes found: 10
Number of modules loaded: 147
Scanning memory - complete
3. Scanning disks
C:\Женя\Программы закачки\Activation.rar/{RAR}/Activation\Windows XP Professional Origina\keyfinder.exe/{RAR-SFX}/officekey.exe >>>>> not-a-virus:PSWTool.Win32.RAS.a
4. Checking Winsock Layered Service Provider (SPI/LSP)
LSP settings checked. No errors detected
5. Searching for keyboard/mouse/windows events hooks (Keyloggers, Trojan DLLs)
C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd.dll --> Suspicion for Keylogger or Trojan DLL
C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd.dll>>> Behavioural analysis
Behaviour typical for keyloggers not detected
File quarantined succesfully (C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd.dll)
C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd3.dll --> Suspicion for Keylogger or Trojan DLL
C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd3.dll>>> Behavioural analysis
Behaviour typical for keyloggers not detected
File quarantined succesfully (C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd3.dll)
C:\PROGRA~1\KASPER~1\KASPER~1\adialhk.dll --> Suspicion for Keylogger or Trojan DLL
C:\PROGRA~1\KASPER~1\KASPER~1\adialhk.dll>>> Behavioural analysis
Behaviour typical for keyloggers not detected
File quarantined succesfully (C:\PROGRA~1\KASPER~1\KASPER~1\adialhk.dll)
C:\PROGRA~1\KASPER~1\KASPER~1\kloehk.dll --> Suspicion for Keylogger or Trojan DLL
C:\PROGRA~1\KASPER~1\KASPER~1\kloehk.dll>>> Behavioural analysis
Behaviour typical for keyloggers not detected
File quarantined succesfully (C:\PROGRA~1\KASPER~1\KASPER~1\kloehk.dll)
Note: Do NOT delete suspicious files, send them for analysis (see FAQ for more details), because there are lots of useful hooking DLLs
6. Searching for opened TCP/UDP ports used by malicious programs
Checking disabled by user
7. Heuristic system check
Latent loading of libraries through AppInit_DLLs suspected: "C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd.dll,C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd3.dll,C:\PROGRA~1\KASPER~1\KASPER~1\adialhk.dll,C:\PROGRA~1\KASPER~1\KASPER~1\kloehk.dll"
>>> E:\autorun.inf HSC: suspicion for hidden autorun (high degree of probability)
File quarantined succesfully (E:\autorun.inf)
Checking - complete
8. Searching for vulnerabilities
>> Services: potentially dangerous service allowed: RemoteRegistry (Remote Registry)
>> Services: potentially dangerous service allowed: TermService (Terminal Services)
>> Services: potentially dangerous service allowed: SSDPSRV (SSDP Discovery Service)
>> Services: potentially dangerous service allowed: TlntSvr (Telnet)
>> Services: potentially dangerous service allowed: Schedule (Task Scheduler)
>> Services: potentially dangerous service allowed: mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Services: potentially dangerous service allowed: RDSessMgr (Remote Desktop Help Session Manager)
> Services: please bear in mind that the set of services depends on the use of the PC (home PC, office PC connected to corporate network, etc)!
>> Security: administrative shares (C$, D$ ...) are enabled
>> Security: anonymous user access is enabled
>>> Security: Internet Explorer allows automatic queries of ActiveX administrative elements
Checking - complete
9. Troubleshooting wizard
>> Internet Explorer - automatic queries of ActiveX operating elements are allowed
Checking - complete
Files scanned: 121421, extracted from archives: 105399, malicious software found 1, suspicions - 0
Scanning finished at 10.09.2008 21:44:08
Time of scanning: 00:27:40
If you have a suspicion on presence of viruses or questions on the suspected objects,
you can address http://virusinfo.info conference
Creating archive of files from Quarantine
Creating archive of files from Quarantine - complete
System Analysis in progress
System Analysis - complete
1) Дата обновления баз 06.04.2008 17:09! Нужно обновить: файл\обновление баз!!!
2) Нужны все 3 лога выполненные в обычном режиме от имени админа как написал в последнем сообщении здесь
http://www.globalforum.ru/index.php?showtopic=226233
3) Если не получится, -тогда запасной вариант:
Пролечиться в безопасном режиме собственным касперским с обновлёнными базами или
Скачать:
ftp://ftp.kaspersky.com/devbuilds/RescueD...rescue_2008.iso 96Мб
Нарезать образ на болванку и загрузиться с неё(после записи образа, не вынимая диска, презагрузиться). Выставить все галочки в настройкак касперского на всех разделах и дисках и пролечить комп полным сканом при максимальных настройках. Думаю зверь отступит, или хотя бы даст нормально продолжить лечение.
Это сообщение отредактировал Uncle Hips - 10-09-2008 - 22:47
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:03:40, on 11.09.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - Default URLSearchHook is missing
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\Program Files\ICQToolbar\tbu3\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\ievkbd.dll
O2 - BHO: IE 4.x-6.x BHO for Download Master - {9961627E-4059-41B4-8E0E-A7D6B3854ADF} - C:\PROGRA~1\DOWNLO~1\dmiehlp.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4D91-8333-CF10577473F7} - C:\Documents and Settings\Gal\Google\googletoolbar1.dll (file missing)
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Program Files\ICQToolbar\tbu3\toolbaru.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: DM Bar - {0E1230F8-EA50-42A9-983C-D22ABC2EED3C} - C:\Program Files\Download Master\dmbar.dll
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [ICQ Lite] "C:\Program Files\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\CTFMON.EXE
O4 - HKUS\S-1-5-21-1078081533-492894223-1060284298-1003\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe (User 'Gal')
O4 - HKUS\S-1-5-21-1078081533-492894223-1060284298-1003\..\Run: [ASUS SmartDoctor] C:\Program Files\ASUS\SmartDoctor\\SmartDoctor.exe /start (User 'Gal')
O4 - HKUS\S-1-5-21-1078081533-492894223-1060284298-1003\..\Run: [Download Master] C:\Program Files\Download Master\dmaster.exe -autorun (User 'Gal')
O4 - HKUS\S-1-5-21-1078081533-492894223-1060284298-1003\..\Run: [srvreg] C:\WINDOWS\system32\srvreg.exe (User 'Gal')
O4 - HKUS\S-1-5-21-1078081533-492894223-1060284298-1003\..\RunOnce: [ICQ Lite] C:\Program Files\ICQLite\ICQLite.exe -trayboot (User 'Gal')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Cтатистика защиты веб-трафика - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\SCIEPlgn.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Download Master - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - C:\Program Files\Download Master\dmaster.exe
O9 - Extra 'Tools' menuitem: &Download Master - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - C:\Program Files\Download Master\dmaster.exe
O9 - Extra button: Справочные материалы - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {1E54D648-B804-468d-BC78-4AFFED8E262E} (System Requirements Lab) - http://www.nvidia.com/content/DriverDownlo.../sysreqlab3.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupd...b?1218109383016
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftu...b?1218173181349
O16 - DPF: {74DBCB52-F298-4110-951D-AD2FF67BC8AB} (NVIDIA Smart Scan) - http://www.nvidia.com/content/DriverDownlo...iaSmartScan.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd.dll,C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd3.dll,C:\PROGRA~1\KASPER~1\KASPER~1\adialhk.dll,C:\PROGRA~1\KASPER~1\KASPER~1\kloehk.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Kaspersky Internet Security (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
--
End of file - 6461 bytes
-----------------------------------------
Вот AVZ сделал все как написано. скрипт №3.
AVZ Antiviral Toolkit log; AVZ version is 4.30
Scanning started at 11.09.2008 11:40:55
Database loaded: signatures - 186197, NN profile(s) - 2, microprograms of healing - 56, signature database released 10.09.2008 20:51
Heuristic microprograms loaded: 370
SPV microprograms loaded: 9
Digital signatures of system files loaded: 73357
Heuristic analyzer mode: Medium heuristics level
Healing mode: enabled
Windows version: 5.1.2600, Service Pack 2 ; AVZ is launched with administrator rights
System Restore: Disabled
1. Searching for Rootkits and programs intercepting API functions
1.1 Searching for user-mode API hooks
Analysis: kernel32.dll, export table found in section .text
Analysis: ntdll.dll, export table found in section .text
Analysis: user32.dll, export table found in section .text
Analysis: advapi32.dll, export table found in section .text
Analysis: ws2_32.dll, export table found in section .text
Analysis: wininet.dll, export table found in section .text
Analysis: rasapi32.dll, export table found in section .text
Analysis: urlmon.dll, export table found in section .text
Analysis: netapi32.dll, export table found in section .text
1.2 Searching for kernel-mode API hooks
Driver loaded successfully
SDT found (RVA=082480)
Kernel ntoskrnl.exe found in memory at address 804D7000
SDT = 80559480
KiST = 804E26A8 (284)
Functions checked: 284, intercepted: 0, restored: 0
1.3 Checking IDT and SYSENTER
Analysis for CPU 1
Checking IDT and SYSENTER - complete
1.4 Searching for masking processes and drivers
Checking not performed: extended monitoring driver (AVZPM) is not installed
Driver loaded successfully
1.5 Checking of IRP handlers
Checking - complete
2. Scanning memory
Number of processes found: 21
Number of modules loaded: 325
Scanning memory - complete
3. Scanning disks
Direct reading C:\Documents and Settings\All Users\Application Data\Kaspersky Lab\AVP8\Data\av73.tmp
C:\Documents and Settings\Gal\Local Settings\Temp\GoogleToolbarInstaller_ru.exe >>> suspicion for Trojan-Downloader.Win32.Agent.zje ( 0069C2B8 0BB0A2E2 001F9169 00234F39 1219624)
C:\Женя\Программы закачки\Activation.rar/{RAR}/Activation\Windows XP Professional Origina\keyfinder.exe/{RAR-SFX}/officekey.exe >>>>> not-a-virus:PSWTool.Win32.RAS.a
4. Checking Winsock Layered Service Provider (SPI/LSP)
LSP settings checked. No errors detected
5. Searching for keyboard/mouse/windows events hooks (Keyloggers, Trojan DLLs)
C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd.dll --> Suspicion for Keylogger or Trojan DLL
C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd.dll>>> Behavioural analysis
Behaviour typical for keyloggers not detected
C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd3.dll --> Suspicion for Keylogger or Trojan DLL
C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd3.dll>>> Behavioural analysis
Behaviour typical for keyloggers not detected
C:\PROGRA~1\KASPER~1\KASPER~1\adialhk.dll --> Suspicion for Keylogger or Trojan DLL
C:\PROGRA~1\KASPER~1\KASPER~1\adialhk.dll>>> Behavioural analysis
Behaviour typical for keyloggers not detected
C:\PROGRA~1\KASPER~1\KASPER~1\kloehk.dll --> Suspicion for Keylogger or Trojan DLL
C:\PROGRA~1\KASPER~1\KASPER~1\kloehk.dll>>> Behavioural analysis
Behaviour typical for keyloggers not detected
Note: Do NOT delete suspicious files, send them for analysis (see FAQ for more details), because there are lots of useful hooking DLLs
6. Searching for opened TCP/UDP ports used by malicious programs
Checking disabled by user
7. Heuristic system check
Latent loading of libraries through AppInit_DLLs suspected: "C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd.dll,C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd3.dll,C:\PROGRA~1\KASPER~1\KASPER~1\adialhk.dll,C:\PROGRA~1\KASPER~1\KASPER~1\kloehk.dll"
>>> E:\autorun.inf HSC: suspicion for hidden autorun (high degree of probability)
Checking - complete
8. Searching for vulnerabilities
>> Services: potentially dangerous service allowed: RemoteRegistry (Remote Registry)
>> Services: potentially dangerous service allowed: TermService (Terminal Services)
>> Services: potentially dangerous service allowed: SSDPSRV (SSDP Discovery Service)
>> Services: potentially dangerous service allowed: TlntSvr (Telnet)
>> Services: potentially dangerous service allowed: Schedule (Task Scheduler)
>> Services: potentially dangerous service allowed: mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Services: potentially dangerous service allowed: RDSessMgr (Remote Desktop Help Session Manager)
> Services: please bear in mind that the set of services depends on the use of the PC (home PC, office PC connected to corporate network, etc)!
>> Security: administrative shares (C$, D$ ...) are enabled
>> Security: anonymous user access is enabled
>>> Security: Internet Explorer allows automatic queries of ActiveX administrative elements
Checking - complete
9. Troubleshooting wizard
>> Internet Explorer - automatic queries of ActiveX operating elements are allowed
Checking - complete
Files scanned: 115871, extracted from archives: 101167, malicious software found 1, suspicions - 1
Scanning finished at 11.09.2008 11:59:41
Time of scanning: 00:18:48
If you have a suspicion on presence of viruses or questions on the suspected objects,
you can address http://virusinfo.info conference
Creating archive of files from Quarantine
Creating archive of files from Quarantine - complete
System Analysis in progress
System Analysis - complete
Лог(и) AVZ это файл virusinfo_syscure.zip, который лежит у вас в папке avz4\LOG. Его прикрепи к следующему сообщению или залей на файлообменник http://www.sendspace.com/
Будь добр,внимательно прочитай моё последнее сообщение в топике http://www.globalforum.ru/index.php?showtopic=226233
ЗЫ. Желательно ещё сделать в АВЗ скрипт N2.
http://dump.ru/file/1053296
virusinfo_syscheck.zip
http://dump.ru/file/1053298
virusinfo_cure.zip
http://dump.ru/file/1053299
virusinfo_cure.zip это карантин. 12Мб 0_о! Отправь его пока на
( [email protected] )
Напиши, что это карантин и обязятельно в письме укажи пароль- virus Можно и ссылку на скачку отправить. Подожди что они ответят.
Я пока скрипт напишу.
Это сообщение отредактировал Uncle Hips - 11-09-2008 - 20:13
http://www.atribune.org/public-beta/ATF-Cleaner.exe
Обнови базы AVZ!
E:\ это флешка? Не отключай её до окончания лечения.
Пофиксить(запустить HijackThis нажать "...scan only", отметить галкалками строки и нажать "Fixcheckit"):
| QUOTE |
R3 - Default URLSearchHook is missing O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\Program Files\ICQToolbar\tbu3\toolbaru.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4D91-8333-CF10577473F7} - C:\Documents and Settings\Gal\Google\googletoolbar1.dll (file missing) O4 - HKUS\S-1-5-21-1078081533-492894223-1060284298-1003\..\Run: [srvreg] C:\WINDOWS\system32\srvreg.exe (User 'Gal') |
Закрой все открытые приложения, кроме АVZ и Internet Explorer.
Отключи
- ПК от интернета/локалки
- Антивирус(если работает).
- Системное восстановление(если снова включил).
Далее AVZ\файл\выполнить скрипт\в окошко скопировать скрипт из сообщения\запустить
| QUOTE |
begin SetAVZGuardStatus(True); SearchRootkit(true, true); DelBHO('{AA58ED58-01DD-4D91-8333-CF10577473F7}'); QuarantineFile('C:\WINDOWS\system32\srvreg.exe',''); QuarantineFile('E:\autorun.inf',''); QuarantineFile('Documents and Settings\Gal\Local Settings\Temp\GoogleToolbarInstaller_ru.exe',''); DeleteFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe'); DeleteFile('C:\Documents and Settings\Gal\Local Settings\Temp\GoogleToolbarInstaller_ru.exe'); DeleteFile('E:\autorun.inf'); BC_ImportAll; ExecuteSysClean; BC_Activate; CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); RebootWindows(true); end. |
Компьютер перезагрузится.
Включи антивирус, инет.
Карантин virus.zip из папки avz4 отправь касперским(как и прошлый). Укажи пароль- virus
Повтори все 3 лога HijackThis и 2 AVZ.
Опиши проблеммы, если останутся или появятся.
Это сообщение отредактировал Uncle Hips - 11-09-2008 - 21:53
http://www.sendspace.com/file/5zr31j
немогу скачать программу для временных файлов
http://www.atribune.org/public-beta/ATF-Cleaner.exe
Е:/ это недоразумение, которое отделилось от основного диска.
| QUOTE (dream82 @ 11.09.2008 - время: 22:12) |
| Е:/ это недоразумение, которое отделилось от основного диска. |
Ясно.=)
Очистить Temp можно так пуск\выполнить\%tmp%\ок удаляешь всё от туда.
После того, как пофиксишь и выполнишь написанный скрипт, карантин virus.zip, залей на http://www.sendspace.com/ и отправь мне в ПМ.
ЗЫ. Первый карантин отправил касперским на [email protected]?
что-то у меня форум жутко глючит.. постоянно -"504 Gateway Time-out". Более глючного ещё не видал..( Невозможно писать. Напишешь пост,-выкинуло..:((
| QUOTE (dream82 @ 11.09.2008 - время: 22:12) |
| Е:/ это недоразумение, которое отделилось от основного диска. |
Ясно.=)
Очистить Temp можно так пуск\выполнить\%tmp%\ок удаляешь всё от туда.
После того, как пофиксишь и выполнишь написанный скрипт, карантин virus.zip, залей на http://www.sendspace.com/ и отправь мне в ПМ.
ЗЫ. Первый карантин отправил касперским на [email protected]?
что-то у меня форум жутко глючит.. постоянно -"504 Gateway Time-out". Более глючного ещё не видал..( Невозможно писать. Напишешь пост,-выкинуло..:((
http://www.sendspace.com/file/h87lwu
Пофиксить(запустить HijackThis нажать "...scan only", отметить галкалками строки и нажать "Fixcheckit"):
R3 - Default URLSearchHook is missing (у меня нет такого).
То что было сделал.
Скрины сдкелаю позже.
Отключи корзину(правой кнопкой мыши на ярлык Корзины\Свойства\Файлы удалять немедленно). После лечения включишь заново.
Скачай програмку
IceSword http://mail.ustc.edu.cn/~jfpan/download/IceSword122en.zip распакуй и запусти файл IceSword.ехе.
Кнопка file- откроется окошко поиска.
Найди(если отыщутся) фалы E:\autorun.inf и C:\WINDOWS\system32\srvreg.exe Правым кликом по ним и выбери "copy to". Сохрани оба в новой папке, запакуй её с паролем virus, залей, а ссылку мне в ПМ.
Потом снова IceSword.ехе, кнопка file, найди E:\autorun.inf правым кликом по нему, выбери "force delete", подтвери удаление и перезагрузись.
Сделай контролные логи!
Какие проблемы ещё остались\появились?
| QUOTE (dream82 @ 12.09.2008 - время: 15:56) |
| Нет. Эти файлы найти не могу. |
Хорошо.
Посмотрел логи из ПМ, снова он на месте.
Вот зараза привязалась!
Давай так
Отключи антивирус, инет
Выполни в АВЗ:
| QUOTE |
begin SetAVZGuardStatus(True); SearchRootkit(true, true); DeleteFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe'); DelCLSID('{28ABC5C0-4FCB-11CF-AAX5-81CX1C635612}'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end. |
Комп перезагрузится
Потом(если найдётся),так:
авз - сервис - Active setup - удалить C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe
Флешками пользуешся? Необходимо отключить автозапуск со сменных носителей:
АВЗ\файл\мастер поиска-устранения проблем\категория-системные\степень опасности-все\пуск. На всех(автозапуск с CD можешь оставить если нужен) которые найдутся, поставить галочки и нажать "исправить отмеченные". Перезагрузиться. Сделать скрипт №3 и ссылку на него в сообщении размести.
Отключи антивирус и инет,
подключи зараженную флешку(не отключай, пока не закончим лечение!!!) и сделай такой скрипт:
| QUOTE |
begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('H:\csrss.exe',''); QuarantineFile('H:\autorun.inf',''); QuarantineFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe',''); DeleteFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe'); DeleteFile('H:\autorun.inf'); DeleteFile('H:\csrss.exe'); DelCLSID('{28ABC5C0-4FCB-11CF-AAX5-81CX1C635612} '); BC_ImportAll; ExecuteSysClean; BC_Activate; RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221); RebootWindows(true); end. |
Компьютер перезагрузится.
Затем такой:
| QUOTE |
begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. |
Карантин из папки АВЗ, залей и ссылку мне в ПМ. и касперским отправь. Повтори стандартные скрипты №3, №2 и лог HijackThis. Размести их в следующем сообщении.
РС. Не пропадай никуда. По хорошему(если больной не пропадает) всё это лечение можно сделать за час-два от силы, и я хочу сегодня закончить процедуры.
Это сообщение отредактировал Uncle Hips - 12-09-2008 - 20:04
С учетной записью у меня проблемы.
В режиме нормальной работы я вижу только 1 уч.запись- свою(админ).
В режиме Safe Mode 2 учетные записи (моя и созданная вирусом) обе записи администраторы.
Когда захожу в свою запись(могу сделать с ней все-удалить, исправить и т.д.)
А в вирусной уч. записи нет таких возможностей(только: исправить пароль, изменить картинку)
АВЗ уже делаю
| QUOTE (dream82 @ 12.09.2008 - время: 21:05) |
| Тут я. С учетной записью у меня проблемы. В режиме нормальной работы я вижу только 1 уч.запись- свою(админ). В режиме Safe Mode 2 учетные записи (моя и созданная вирусом) обе записи администраторы. Когда захожу в свою запись(могу сделать с ней все-удалить, исправить и т.д.) А в вирусной уч. записи нет таких возможностей(только: исправить пароль, изменить картинку) АВЗ уже делаю |
Это я понял. Сначала заразу нужно удалить, потом остальное. Вот дополнительная информация об учётных записях и манипуляциях с ними. http://support.microsoft.com/kb/251394/ru
Потом прочти как излечишься.
Логи нужны и карантин, после их выполнения.
Это сообщение отредактировал Uncle Hips - 12-09-2008 - 21:29
Скопируй это в блокнот(notepad) и сохрани файл как noautorun.reg потом запусти и согласись с добавлением.
| QUOTE |
Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom] "AutoRun"=dword:00000000 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer] "NoDriveTypeAutoRun"=dword:000000ff [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf] @="@SYS:DoesNotExist" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\CancelAutoplay\Files] "*.*"="" |
Это сообщение отредактировал Uncle Hips - 12-09-2008 - 23:12
Осталось только убрать его следы и все "ай би хеппи".