Mike59 Posted September 21, 2007 Report Share Posted September 21, 2007 Здравсвуйте! Подцепил какую-то мерзость. Windows падает (комп уходит в перезагрузку) или сразу после логина или при попытке запуска какого-либо приложения. В защищенном режиме, вроде, работает, но тоже один раз свалился. Повалился AVP. Заблокирован AVZ. Из того, что мне доступно, удалось поставить бесплатный Avast, который периодически находит дрянь, но толку от этого мало. Видимо, находит не все. Поковырялся сам - по моему стало еще хуже Памагитя, плиз... Лог HijackThis выглядит так: Logfile of HijackThis v1.99.1 Scan saved at 1:21:45, on 22.09.2007 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\savedump.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\nvsvc32.exe C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\spooldr.exe C:\Program Files\Analog Devices\SoundMAX\Smtray.exe C:\Program Files\QuickTime\qttask.exe C:\WINDOWS\system32\dumprep.exe C:\WINDOWS\System32\ctfmon.exe C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe C:\Documents and Settings\Michael\Desktop\HijackThis.exe C:\WINDOWS\System32\dwwin.exe C:\WINDOWS\System32\svchost.exe R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 216.17.1.6:8080 F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,userinit.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [smapp] C:\Program Files\Analog Devices\SoundMAX\Smtray.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe O10 - Unknown file in Winsock LSP: c:\windows\system32\ydctn.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\ydctn.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\ydctn.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\ydctn.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\ydctn.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\ydctn.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\ydctn.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\ydctn.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\ydctn.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\ydctn.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\ydctn.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\ydctn.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\ydctn.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\ydctn.dll O17 - HKLM\System\CCS\Services\Tcpip\..\{E6A605CD-FCDA-4AB6-A6E5-84433B6A81C2}: NameServer = 10.130.10.1 O20 - Winlogon Notify: klogon - C:\WINDOWS\System32\klogon.dll O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing) O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing) O23 - Service: Active Virus Shield (AVP) - Unknown owner - C:\Program Files\AOL\Active Virus Shield\avp.exe" -r (file missing) O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe Link to comment Share on other sites More sharing options...
Saule Posted September 22, 2007 Report Share Posted September 22, 2007 Попробуйте скачать LSP-Fix (страница программы). Если при включении вы увидите надпись: Problems found in LSP chain. Press 'Finish' to make corrections и в правом столбце будет какая-нибудь dll-ка, то вам нужно нажать на кнопку Finish (красным обведена на скрин-шоте): Но на всякий случай предупреждаю: ничего менять в настройках программы не нужно (ставить галочки, перемещать файлы из одной таблицы в другую и т.п.)! Просто нажимаем на 'Finish'. В противном случае у вас может пропасть интернет (если вы в чем-либо сомневаетесь, лучше сначала сделать скриншот окошка этой программы, показать его и спросить, как вам лучше сделать). При последующем запуске, если всё прошло хорошо, программа должна выглядеть примерно следующем образом: Плюс пофиксите следующую строку, если вы не устанавливали этот Proxy Server самостоятельно (если устанавливали сами - то фиксить не нужно): R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 216.17.1.6:8080 Пофиксить = открыть HijackThis, нажать на кнопку "Do a system scan only", отметить галочкой нужные строчки и затем нажать на кнопку "Fix Checked". Link to comment Share on other sites More sharing options...
Mike59 Posted September 22, 2007 Author Report Share Posted September 22, 2007 Спасибо, Saule. Упражнение с LSP-fix я уже проделывал раньше. Все было, как Вы написали, но не помогло. :) Прокси действительно была не моя. Спасибо. Убил. Не помогло. :) Дополнительная информация: 1. при запуске qttask.exe ругался на поврежденный файл QTFont.for . Я пошарил по Сети, выяснил, что это какой-то левый файл. Закарантинил вручную его и найденный рядом с ним QTFont.qfn . Ругань прекратилась, но все равно не помогло :) 2. При запуске что в обычном, что в защищенном режиме открывается окно Windows Explorer на папке My Documents, хотя я этого не просил. :( К чему бы это... 3. При запуске в обычном режиме Windows два раза сообщает о серьезной ошибке. 4. Комп уходит в перезагрузку произвольно, но обязательно при попытке перехода Internet Explorer на какой-либо URL: на закладку, или просто при вводе в адресную строку. В защищенном режиме все, вроде работает. В нем и пишу сейчас... Я, конечно, весьма слабо разбираюсь в подобных вещах, но создается внечатление, что это какой-то недобитый AdWare... Так? Link to comment Share on other sites More sharing options...
Saule Posted September 22, 2007 Report Share Posted September 22, 2007 Я, конечно, весьма слабо разбираюсь в подобных вещах, но создается внечатление, что это какой-то недобитый AdWare... Так?Лог HijackThis показывает на то, что у вас в цепочке LSP (WinSock) находится посторонний файл (c:\windows\system32\ydctn.dll), через который по сути проходит весь ваш интернет-трафик. Можно просто разрегистрировать эту dll-ку: Start > Run > regsvr32 /u ydctn.dll И затем удалить файл. Но таким образом у вас пропадет интернет. Хотя это можно попытаться исправить, опять-таки с помощью LSPFix: поставив галочку рядом с 'I know what I'm doing' и нажав на кнопку 'Finish'. Но так как у вас не установлен Service Pack 2, гарантии в том, что интернет восстановится - нет :( Однако, можно предварительно сохранить копию файла ydctn.dll и в случае, если с интернетом будут проблемы, вернуть всё на место (Start > Run > regsvr32 ydctn.dll). Либо как вариант, также предварительно сделать образ системы и затем откатиться обратно. 3. При запуске в обычном режиме Windows два раза сообщает о серьезной ошибке.Нужно точнее. Т.е. что именно пишется в сообщениях? Link to comment Share on other sites More sharing options...
Mike59 Posted September 24, 2007 Author Report Share Posted September 24, 2007 Здравствуйте. Все никак не могу победить бяку. Мне тут в личку присоветовали переименовать AVZ и подключить его к борьбе. Подключил. АVZ находит трояны и удаляет их. Дочищал при помощи LSPFix. Но после попытки запуска в нормал моде, в System32 появляются новые dll с разными именами и всталяются в Winsock. И так по кругу. Сейчас, например, лог HijackThis выглядит так: Logfile of HijackThis v1.99.1 Scan saved at 23:14:16, on 24.09.2007 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\svchost.exe C:\Program Files\Outlook Express\msimn.exe C:\Program Files\Messenger\msmsgs.exe C:\Program Files\Internet Explorer\iexplore.exe C:\Documents and Settings\Michael\Desktop\HijackThis.exe F2 - REG:system.ini: Shell=explorer.exe C:\WINDOWS\System32\svohost.exe F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,userinit.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [smapp] C:\Program Files\Analog Devices\SoundMAX\Smtray.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [load32] C:\WINDOWS\System32\swchost.exe O4 - HKLM\..\Run: [NvClipRsv] C:\WINDOWS\svchost.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O10 - Unknown file in Winsock LSP: c:\windows\system32\lrw.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\lrw.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\lrw.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\lrw.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\lrw.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\lrw.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\lrw.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\lrw.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\lrw.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\lrw.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\lrw.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\lrw.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\lrw.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\lrw.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\lrw.dll O17 - HKLM\System\CCS\Services\Tcpip\..\{E6A605CD-FCDA-4AB6-A6E5-84433B6A81C2}: NameServer = 10.130.10.1 O20 - Winlogon Notify: klogon - C:\WINDOWS\System32\klogon.dll O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing) O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing) O23 - Service: Active Virus Shield (AVP) - Unknown owner - C:\Program Files\AOL\Active Virus Shield\avp.exe" -r (file missing) O23 - Service: FCI - Unknown owner - C:\WINDOWS\System32\fci.exe (file missing) O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe Нужно точнее. Т.е. что именно пишется в сообщениях? Вы не представляете, с каким трудом мне удалось сделать скриншоты :) Link to comment Share on other sites More sharing options...
Saule Posted September 25, 2007 Report Share Posted September 25, 2007 Здравствуйте. Все никак не могу победить бяку. Мне тут в личку присоветовали переименовать AVZ и подключить его к борьбе. Подключил.Вы кажется писали, что он у вас заблокирован Исследование системы, сделанное с его помощью посмотреть можно? - это несколько бы упростило решение вашей проблемы. В целом же вирусов только прибавилось. Поэтому, возможно, есть смысл не только удалять что-либо, но и закрывать дыры, через которые это всё лезет. 1. В логе HijackThis можно пофиксить следующее: F2 - REG:system.ini: Shell=explorer.exe C:\WINDOWS\System32\svohost.exe F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,userinit.exe O4 - HKLM\..\Run: [load32] C:\WINDOWS\System32\swchost.exe O4 - HKLM\..\Run: [NvClipRsv] C:\WINDOWS\svchost.exe O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm 2. Удалять c:\windows\system32\lrw.dll, по всей видимости бесполезно, пока не будет удален основной компонент вируса. Но попробовать сделать это снова вышеописанным способом можно, так как рано или поздно это делать придется (зарегистрировать dll, удалить файл, восстановить цепочку обработки TCP/IP с помощью LSP-Fix). Либо ждем исследование системы с помощью AVZ. 3. Плюс нажимаем: Start (Пуск) > Run (Выполнить) Копируем в строку: sc delete FCI Нажимаем ОК или клавишу ENTER. 4. После этого перезагружаем компьютер и удаляем вручную файлы, если такие еще будут присутствовать (не перепутайте с системным svchost.exe): C:\WINDOWS\ svchost.exe C:\WINDOWS\System32\ swchost.exe C:\WINDOWS\System32\ svohost.exe 5. Также в вашем случае не будет лишним просканировать систему с помощью Qoofix и в качестве более общего средства: CureIt! от Dr.WEB. Link to comment Share on other sites More sharing options...
Mike59 Posted September 25, 2007 Author Report Share Posted September 25, 2007 Вы кажется писали, что он у вас заблокирован Исследование системы, сделанное с его помощью посмотреть можно? - это несколько бы упростило решение вашей проблемы. Дык, разблокировал путем переименования avz.exe в bvz. exe . Присоветовали. Сам не допер Исследование системы прилагаю. avz_sysinfo.htmТолько я сначала в сэйф моде вычистил , что смог AVZ, потом LSPFix'ом дочистил, потом все,что оставалось HijackThis'ом пофиксил, потом перезагрузился в нормал моде и успел сохранить исследование системы. Лог HijackThis (снятый в сэйф моде) теперь выглядит так:Logfile of HijackThis v1.99.1 Scan saved at 20:24:36, on 25.09.2007 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\Program Files\Internet Explorer\iexplore.exe C:\Documents and Settings\Michael\Desktop\HijackThis.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [smapp] C:\Program Files\Analog Devices\SoundMAX\Smtray.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe O17 - HKLM\System\CCS\Services\Tcpip\..\{E6A605CD-FCDA-4AB6-A6E5-84433B6A81C2}: NameServer = 10.130.10.1 O20 - Winlogon Notify: klogon - C:\WINDOWS\System32\klogon.dll O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing) O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing) O23 - Service: Active Virus Shield (AVP) - Unknown owner - C:\Program Files\AOL\Active Virus Shield\avp.exe" -r (file missing) O23 - Service: FCI - Unknown owner - C:\WINDOWS\System32\fci.exe (file missing) O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe В целом же вирусов только прибавилось. Поэтому, возможно, есть смысл не только удалять что-либо, но и закрывать дыры, через которые это всё лезет.Если дадите рекомендации, буду премного благодарен.avz_sysinfo.htm Link to comment Share on other sites More sharing options...
Mike59 Posted September 25, 2007 Author Report Share Posted September 25, 2007 Ссылка на Qoofix не работает Dr.Web CureIt! нашел и вылечил еще 2 зараженных файла. В том числе tcpip.sys Link to comment Share on other sites More sharing options...
Mike59 Posted September 25, 2007 Author Report Share Posted September 25, 2007 Догадался. Qoofix скачал, но он ничего не нашел. Link to comment Share on other sites More sharing options...
Mike59 Posted September 25, 2007 Author Report Share Posted September 25, 2007 Однако же, все осталось по прежнему. :( После очередной чистки попробовал загрузиться в нормал моде с отключенным сетевым кабелем (я по LAN интернет получаю). Виндовз загружался. А падал строго при попытке начать проверку при помощи curedit. Потом я подключил LAN и тут же падение, загрузка в сэйф моде и обнаружение очередной зараженной dll вставленной в LSP. Link to comment Share on other sites More sharing options...
Saule Posted September 26, 2007 Report Share Posted September 26, 2007 Исследование системы прилагаю.В верхнем меню AVZ нажимаем:Файл > Выполнить скрипт И копируем в открывшееся окошко следующий код: beginSearchRootkit(true, true);SetAVZGuardStatus(True);DeleteFile('C:\WINDOWS\system32\drivers\protect.sys');BC_ImportDeletedList;ExecuteSysClean;BC_Activate;ClearHostsFile;RebootWindows(true);end. Запускаем с помощью соответствующей кнопки ("Запустить"). Только обратите внимание, что процесс удаления закончится перезагрузкой компьютера, поэтому все лишние программы и приложения желательно заранее выключить. После этого можно пробовать удалять постороннюю dll-ку из LSP. В случае неудачи - нужны новые логи (чем больше, тем лучше). Dr.Web CureIt! нашел и вылечил еще 2 зараженных файла. В том числе tcpip.sysПосле таких вариантов также, делаете, пожалуйста, новые логи (т.к. смысла смотреть старые в таком случае нет :(). При чем желательно не в Safe Mode (т.к. желательно, чтобы вирус был активен на момент создания лога). Link to comment Share on other sites More sharing options...
Mike59 Posted September 26, 2007 Author Report Share Posted September 26, 2007 Добрый вечер. Это снова я, ваш ночной кошмар :) Ну, в общем, операцию со скриптом проделал. Лучше не стало. По порядку. 1. Загрузился в сэйф моде. 2. Запустил скрипт. 3. После перезагрузки - снова в сэйф моде. 4. Снова запустил AVZ, просканировал С: - найден троян в очередной dll, убит. 5. Проверил всеми остальными средствами - все чисто. 6. Выдернул изернет, перезапустился в нормал моде. 7. Запустил AVZ, сделал исследование системы. Результат прилагаю. avz_sysinfo.htm 8. Запустил HijackThis сохранил лог. Прилагаю. hijackthis.log 9. Запустил cureit, при попытке сканирования системы Windows упал. 10. После перезагрузки попробовал воткнуть LAN кабель. Попытка чтения из И-нета - Windows упал. 11. Windows вообще перстал грузиться в нормал моде. Доходит до логина и перзагружается. 12. Загрузился в сэйф моде. Пишу эти грустные строки. :) avz_sysinfo.htm hijackthis.log Link to comment Share on other sites More sharing options...
Mike59 Posted September 26, 2007 Author Report Share Posted September 26, 2007 В ожидании чуда исцеления прозябаю в сэйф моде. И обнаружил, что заражение мерзностными dll-ками и сэйф моде происходит тоже. Достаточно посетить какой-нибудь (любой) интернет ресурс. Link to comment Share on other sites More sharing options...
Saule Posted September 27, 2007 Report Share Posted September 27, 2007 В ожидании чуда исцеления прозябаю в сэйф моде. И обнаружил, что заражение мерзностными dll-ками и сэйф моде происходит тоже. Достаточно посетить какой-нибудь (любой) интернет ресурс. Может у вас есть возможность прислать копию такой dll-ки? (почта, если нужно: ). Link to comment Share on other sites More sharing options...
Mike59 Posted September 27, 2007 Author Report Share Posted September 27, 2007 Может у вас есть возможность прислать копию такой dll-ки? (почта, если нужно: ).Уже выслал. Но что это даст? Это ведь, как я понимаю, не причина, а следствие... Link to comment Share on other sites More sharing options...
engineer garin Posted September 28, 2007 Report Share Posted September 28, 2007 Уже выслал. Но что это даст? Это ведь, как я понимаю, не причина, а следствие... Давно пора поставить пакет обновлений SP2 , без этого лечить бесполезно.... Link to comment Share on other sites More sharing options...
barsukRed Posted September 29, 2007 Report Share Posted September 29, 2007 Давно пора поставить пакет обновлений SP2 , без этого лечить бесполезно.... Неужели вправду бесполезно? Link to comment Share on other sites More sharing options...
Mike59 Posted October 1, 2007 Author Report Share Posted October 1, 2007 На сегодняшний день обнаружено, что заражение происходит в сэйф моде и сразу после загрузки. Логи AVZ и HijackThis до излечения прилагаю. hijackthis.log avz_sysinfo.htm hijackthis.log avz_sysinfo.htm Link to comment Share on other sites More sharing options...
Recommended Posts
Create an account or sign in to comment
You need to be a member in order to leave a comment
Create an account
Sign up for a new account in our community. It's easy!
Register a new accountSign in
Already have an account? Sign in here.
Sign In Now