Mike59 Опубликовано 21 сентября, 2007 Жалоба Поделиться Опубликовано 21 сентября, 2007 Здравсвуйте! Подцепил какую-то мерзость. Windows падает (комп уходит в перезагрузку) или сразу после логина или при попытке запуска какого-либо приложения. В защищенном режиме, вроде, работает, но тоже один раз свалился. Повалился AVP. Заблокирован AVZ. Из того, что мне доступно, удалось поставить бесплатный Avast, который периодически находит дрянь, но толку от этого мало. Видимо, находит не все. Поковырялся сам - по моему стало еще хуже Памагитя, плиз... Лог HijackThis выглядит так: Logfile of HijackThis v1.99.1 Scan saved at 1:21:45, on 22.09.2007 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\savedump.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\nvsvc32.exe C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\spooldr.exe C:\Program Files\Analog Devices\SoundMAX\Smtray.exe C:\Program Files\QuickTime\qttask.exe C:\WINDOWS\system32\dumprep.exe C:\WINDOWS\System32\ctfmon.exe C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe C:\Documents and Settings\Michael\Desktop\HijackThis.exe C:\WINDOWS\System32\dwwin.exe C:\WINDOWS\System32\svchost.exe R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 216.17.1.6:8080 F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,userinit.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [smapp] C:\Program Files\Analog Devices\SoundMAX\Smtray.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe O10 - Unknown file in Winsock LSP: c:\windows\system32\ydctn.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\ydctn.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\ydctn.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\ydctn.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\ydctn.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\ydctn.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\ydctn.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\ydctn.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\ydctn.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\ydctn.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\ydctn.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\ydctn.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\ydctn.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\ydctn.dll O17 - HKLM\System\CCS\Services\Tcpip\..\{E6A605CD-FCDA-4AB6-A6E5-84433B6A81C2}: NameServer = 10.130.10.1 O20 - Winlogon Notify: klogon - C:\WINDOWS\System32\klogon.dll O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing) O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing) O23 - Service: Active Virus Shield (AVP) - Unknown owner - C:\Program Files\AOL\Active Virus Shield\avp.exe" -r (file missing) O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Saule Опубликовано 22 сентября, 2007 Жалоба Поделиться Опубликовано 22 сентября, 2007 Попробуйте скачать LSP-Fix (страница программы). Если при включении вы увидите надпись: Problems found in LSP chain. Press 'Finish' to make corrections и в правом столбце будет какая-нибудь dll-ка, то вам нужно нажать на кнопку Finish (красным обведена на скрин-шоте): Но на всякий случай предупреждаю: ничего менять в настройках программы не нужно (ставить галочки, перемещать файлы из одной таблицы в другую и т.п.)! Просто нажимаем на 'Finish'. В противном случае у вас может пропасть интернет (если вы в чем-либо сомневаетесь, лучше сначала сделать скриншот окошка этой программы, показать его и спросить, как вам лучше сделать). При последующем запуске, если всё прошло хорошо, программа должна выглядеть примерно следующем образом: Плюс пофиксите следующую строку, если вы не устанавливали этот Proxy Server самостоятельно (если устанавливали сами - то фиксить не нужно): R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 216.17.1.6:8080 Пофиксить = открыть HijackThis, нажать на кнопку "Do a system scan only", отметить галочкой нужные строчки и затем нажать на кнопку "Fix Checked". Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Mike59 Опубликовано 22 сентября, 2007 Автор Жалоба Поделиться Опубликовано 22 сентября, 2007 Спасибо, Saule. Упражнение с LSP-fix я уже проделывал раньше. Все было, как Вы написали, но не помогло. :) Прокси действительно была не моя. Спасибо. Убил. Не помогло. :) Дополнительная информация: 1. при запуске qttask.exe ругался на поврежденный файл QTFont.for . Я пошарил по Сети, выяснил, что это какой-то левый файл. Закарантинил вручную его и найденный рядом с ним QTFont.qfn . Ругань прекратилась, но все равно не помогло :) 2. При запуске что в обычном, что в защищенном режиме открывается окно Windows Explorer на папке My Documents, хотя я этого не просил. :( К чему бы это... 3. При запуске в обычном режиме Windows два раза сообщает о серьезной ошибке. 4. Комп уходит в перезагрузку произвольно, но обязательно при попытке перехода Internet Explorer на какой-либо URL: на закладку, или просто при вводе в адресную строку. В защищенном режиме все, вроде работает. В нем и пишу сейчас... Я, конечно, весьма слабо разбираюсь в подобных вещах, но создается внечатление, что это какой-то недобитый AdWare... Так? Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Saule Опубликовано 22 сентября, 2007 Жалоба Поделиться Опубликовано 22 сентября, 2007 Я, конечно, весьма слабо разбираюсь в подобных вещах, но создается внечатление, что это какой-то недобитый AdWare... Так?Лог HijackThis показывает на то, что у вас в цепочке LSP (WinSock) находится посторонний файл (c:\windows\system32\ydctn.dll), через который по сути проходит весь ваш интернет-трафик. Можно просто разрегистрировать эту dll-ку: Start > Run > regsvr32 /u ydctn.dll И затем удалить файл. Но таким образом у вас пропадет интернет. Хотя это можно попытаться исправить, опять-таки с помощью LSPFix: поставив галочку рядом с 'I know what I'm doing' и нажав на кнопку 'Finish'. Но так как у вас не установлен Service Pack 2, гарантии в том, что интернет восстановится - нет :( Однако, можно предварительно сохранить копию файла ydctn.dll и в случае, если с интернетом будут проблемы, вернуть всё на место (Start > Run > regsvr32 ydctn.dll). Либо как вариант, также предварительно сделать образ системы и затем откатиться обратно. 3. При запуске в обычном режиме Windows два раза сообщает о серьезной ошибке.Нужно точнее. Т.е. что именно пишется в сообщениях? Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Mike59 Опубликовано 24 сентября, 2007 Автор Жалоба Поделиться Опубликовано 24 сентября, 2007 Здравствуйте. Все никак не могу победить бяку. Мне тут в личку присоветовали переименовать AVZ и подключить его к борьбе. Подключил. АVZ находит трояны и удаляет их. Дочищал при помощи LSPFix. Но после попытки запуска в нормал моде, в System32 появляются новые dll с разными именами и всталяются в Winsock. И так по кругу. Сейчас, например, лог HijackThis выглядит так: Logfile of HijackThis v1.99.1 Scan saved at 23:14:16, on 24.09.2007 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\svchost.exe C:\Program Files\Outlook Express\msimn.exe C:\Program Files\Messenger\msmsgs.exe C:\Program Files\Internet Explorer\iexplore.exe C:\Documents and Settings\Michael\Desktop\HijackThis.exe F2 - REG:system.ini: Shell=explorer.exe C:\WINDOWS\System32\svohost.exe F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,userinit.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [smapp] C:\Program Files\Analog Devices\SoundMAX\Smtray.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [load32] C:\WINDOWS\System32\swchost.exe O4 - HKLM\..\Run: [NvClipRsv] C:\WINDOWS\svchost.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O10 - Unknown file in Winsock LSP: c:\windows\system32\lrw.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\lrw.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\lrw.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\lrw.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\lrw.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\lrw.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\lrw.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\lrw.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\lrw.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\lrw.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\lrw.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\lrw.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\lrw.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\lrw.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\lrw.dll O17 - HKLM\System\CCS\Services\Tcpip\..\{E6A605CD-FCDA-4AB6-A6E5-84433B6A81C2}: NameServer = 10.130.10.1 O20 - Winlogon Notify: klogon - C:\WINDOWS\System32\klogon.dll O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing) O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing) O23 - Service: Active Virus Shield (AVP) - Unknown owner - C:\Program Files\AOL\Active Virus Shield\avp.exe" -r (file missing) O23 - Service: FCI - Unknown owner - C:\WINDOWS\System32\fci.exe (file missing) O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe Нужно точнее. Т.е. что именно пишется в сообщениях? Вы не представляете, с каким трудом мне удалось сделать скриншоты :) Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Saule Опубликовано 25 сентября, 2007 Жалоба Поделиться Опубликовано 25 сентября, 2007 Здравствуйте. Все никак не могу победить бяку. Мне тут в личку присоветовали переименовать AVZ и подключить его к борьбе. Подключил.Вы кажется писали, что он у вас заблокирован Исследование системы, сделанное с его помощью посмотреть можно? - это несколько бы упростило решение вашей проблемы. В целом же вирусов только прибавилось. Поэтому, возможно, есть смысл не только удалять что-либо, но и закрывать дыры, через которые это всё лезет. 1. В логе HijackThis можно пофиксить следующее: F2 - REG:system.ini: Shell=explorer.exe C:\WINDOWS\System32\svohost.exe F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,userinit.exe O4 - HKLM\..\Run: [load32] C:\WINDOWS\System32\swchost.exe O4 - HKLM\..\Run: [NvClipRsv] C:\WINDOWS\svchost.exe O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm 2. Удалять c:\windows\system32\lrw.dll, по всей видимости бесполезно, пока не будет удален основной компонент вируса. Но попробовать сделать это снова вышеописанным способом можно, так как рано или поздно это делать придется (зарегистрировать dll, удалить файл, восстановить цепочку обработки TCP/IP с помощью LSP-Fix). Либо ждем исследование системы с помощью AVZ. 3. Плюс нажимаем: Start (Пуск) > Run (Выполнить) Копируем в строку: sc delete FCI Нажимаем ОК или клавишу ENTER. 4. После этого перезагружаем компьютер и удаляем вручную файлы, если такие еще будут присутствовать (не перепутайте с системным svchost.exe): C:\WINDOWS\ svchost.exe C:\WINDOWS\System32\ swchost.exe C:\WINDOWS\System32\ svohost.exe 5. Также в вашем случае не будет лишним просканировать систему с помощью Qoofix и в качестве более общего средства: CureIt! от Dr.WEB. Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Mike59 Опубликовано 25 сентября, 2007 Автор Жалоба Поделиться Опубликовано 25 сентября, 2007 Вы кажется писали, что он у вас заблокирован Исследование системы, сделанное с его помощью посмотреть можно? - это несколько бы упростило решение вашей проблемы. Дык, разблокировал путем переименования avz.exe в bvz. exe . Присоветовали. Сам не допер Исследование системы прилагаю. avz_sysinfo.htmТолько я сначала в сэйф моде вычистил , что смог AVZ, потом LSPFix'ом дочистил, потом все,что оставалось HijackThis'ом пофиксил, потом перезагрузился в нормал моде и успел сохранить исследование системы. Лог HijackThis (снятый в сэйф моде) теперь выглядит так:Logfile of HijackThis v1.99.1 Scan saved at 20:24:36, on 25.09.2007 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\Program Files\Internet Explorer\iexplore.exe C:\Documents and Settings\Michael\Desktop\HijackThis.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [smapp] C:\Program Files\Analog Devices\SoundMAX\Smtray.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe O17 - HKLM\System\CCS\Services\Tcpip\..\{E6A605CD-FCDA-4AB6-A6E5-84433B6A81C2}: NameServer = 10.130.10.1 O20 - Winlogon Notify: klogon - C:\WINDOWS\System32\klogon.dll O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing) O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing) O23 - Service: Active Virus Shield (AVP) - Unknown owner - C:\Program Files\AOL\Active Virus Shield\avp.exe" -r (file missing) O23 - Service: FCI - Unknown owner - C:\WINDOWS\System32\fci.exe (file missing) O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe В целом же вирусов только прибавилось. Поэтому, возможно, есть смысл не только удалять что-либо, но и закрывать дыры, через которые это всё лезет.Если дадите рекомендации, буду премного благодарен.avz_sysinfo.htm Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Mike59 Опубликовано 25 сентября, 2007 Автор Жалоба Поделиться Опубликовано 25 сентября, 2007 Ссылка на Qoofix не работает Dr.Web CureIt! нашел и вылечил еще 2 зараженных файла. В том числе tcpip.sys Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Mike59 Опубликовано 25 сентября, 2007 Автор Жалоба Поделиться Опубликовано 25 сентября, 2007 Догадался. Qoofix скачал, но он ничего не нашел. Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Mike59 Опубликовано 25 сентября, 2007 Автор Жалоба Поделиться Опубликовано 25 сентября, 2007 Однако же, все осталось по прежнему. :( После очередной чистки попробовал загрузиться в нормал моде с отключенным сетевым кабелем (я по LAN интернет получаю). Виндовз загружался. А падал строго при попытке начать проверку при помощи curedit. Потом я подключил LAN и тут же падение, загрузка в сэйф моде и обнаружение очередной зараженной dll вставленной в LSP. Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Saule Опубликовано 26 сентября, 2007 Жалоба Поделиться Опубликовано 26 сентября, 2007 Исследование системы прилагаю.В верхнем меню AVZ нажимаем:Файл > Выполнить скрипт И копируем в открывшееся окошко следующий код: beginSearchRootkit(true, true);SetAVZGuardStatus(True);DeleteFile('C:\WINDOWS\system32\drivers\protect.sys');BC_ImportDeletedList;ExecuteSysClean;BC_Activate;ClearHostsFile;RebootWindows(true);end. Запускаем с помощью соответствующей кнопки ("Запустить"). Только обратите внимание, что процесс удаления закончится перезагрузкой компьютера, поэтому все лишние программы и приложения желательно заранее выключить. После этого можно пробовать удалять постороннюю dll-ку из LSP. В случае неудачи - нужны новые логи (чем больше, тем лучше). Dr.Web CureIt! нашел и вылечил еще 2 зараженных файла. В том числе tcpip.sysПосле таких вариантов также, делаете, пожалуйста, новые логи (т.к. смысла смотреть старые в таком случае нет :(). При чем желательно не в Safe Mode (т.к. желательно, чтобы вирус был активен на момент создания лога). Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Mike59 Опубликовано 26 сентября, 2007 Автор Жалоба Поделиться Опубликовано 26 сентября, 2007 Добрый вечер. Это снова я, ваш ночной кошмар :) Ну, в общем, операцию со скриптом проделал. Лучше не стало. По порядку. 1. Загрузился в сэйф моде. 2. Запустил скрипт. 3. После перезагрузки - снова в сэйф моде. 4. Снова запустил AVZ, просканировал С: - найден троян в очередной dll, убит. 5. Проверил всеми остальными средствами - все чисто. 6. Выдернул изернет, перезапустился в нормал моде. 7. Запустил AVZ, сделал исследование системы. Результат прилагаю. avz_sysinfo.htm 8. Запустил HijackThis сохранил лог. Прилагаю. hijackthis.log 9. Запустил cureit, при попытке сканирования системы Windows упал. 10. После перезагрузки попробовал воткнуть LAN кабель. Попытка чтения из И-нета - Windows упал. 11. Windows вообще перстал грузиться в нормал моде. Доходит до логина и перзагружается. 12. Загрузился в сэйф моде. Пишу эти грустные строки. :) avz_sysinfo.htm hijackthis.log Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Mike59 Опубликовано 26 сентября, 2007 Автор Жалоба Поделиться Опубликовано 26 сентября, 2007 В ожидании чуда исцеления прозябаю в сэйф моде. И обнаружил, что заражение мерзностными dll-ками и сэйф моде происходит тоже. Достаточно посетить какой-нибудь (любой) интернет ресурс. Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Saule Опубликовано 27 сентября, 2007 Жалоба Поделиться Опубликовано 27 сентября, 2007 В ожидании чуда исцеления прозябаю в сэйф моде. И обнаружил, что заражение мерзностными dll-ками и сэйф моде происходит тоже. Достаточно посетить какой-нибудь (любой) интернет ресурс. Может у вас есть возможность прислать копию такой dll-ки? (почта, если нужно: ). Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Mike59 Опубликовано 27 сентября, 2007 Автор Жалоба Поделиться Опубликовано 27 сентября, 2007 Может у вас есть возможность прислать копию такой dll-ки? (почта, если нужно: ).Уже выслал. Но что это даст? Это ведь, как я понимаю, не причина, а следствие... Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
engineer garin Опубликовано 28 сентября, 2007 Жалоба Поделиться Опубликовано 28 сентября, 2007 Уже выслал. Но что это даст? Это ведь, как я понимаю, не причина, а следствие... Давно пора поставить пакет обновлений SP2 , без этого лечить бесполезно.... Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
barsukRed Опубликовано 29 сентября, 2007 Жалоба Поделиться Опубликовано 29 сентября, 2007 Давно пора поставить пакет обновлений SP2 , без этого лечить бесполезно.... Неужели вправду бесполезно? Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Mike59 Опубликовано 1 октября, 2007 Автор Жалоба Поделиться Опубликовано 1 октября, 2007 На сегодняшний день обнаружено, что заражение происходит в сэйф моде и сразу после загрузки. Логи AVZ и HijackThis до излечения прилагаю. hijackthis.log avz_sysinfo.htm hijackthis.log avz_sysinfo.htm Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.