Помогите пожалуйста!

[Z@R@Z@88]

Комп все время перезагрузает систему по причине внезапного завершения системного процесса C:\WINDOWS\system32\lsass.exe

а еще антивир показывает наличие WORM\Padobot.Z.3, TR\Dldr.Small.AQI.3, TR\Spy.Qukart.S.1

лог

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\System32\igfxtray.exe

C:\WINDOWS\System32\hkcmd.exe

C:\WINDOWS\System32\igfxpers.exe

C:\WINDOWS\System32\igfxsrvc.exe

C:\PROGRA~1\LAUNCH~1\QtZgAcer.EXE

C:\WINDOWS\RTHDCPL.EXE

C:\Program Files\QuickTime\qttask.exe

C:\Program Files\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe

C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe

C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Program Files\Messenger\msmsgs.exe

C:\Program Files\Punto Switcher\ps.exe

C:\Program Files\Common Files\Yandex\Yupdate\yupdate.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe

C:\WINDOWS\system32\srvany.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\resetservice.exe

C:\WINDOWS\System32\igfxext.exe

C:\Program Files\Common Files\Teleca Shared\Generic.exe

C:\Program Files\Internet Explorer\IEXPLORE.EXE

C:\Program Files\Internet Explorer\IEXPLORE.EXE

C:\WINDOWS\System32\wuauclt.exe

C:\WINDOWS\system32\fsb.exe

D:\HiJackThis_v2.exe

C:\WINDOWS\System32\0CIDCJFH.exe

c:\boot.sys

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yandex.ru/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll

O3 - Toolbar: &Радио - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: Яндекс.Бар - {91397D20-1446-11D4-8AF4-0040CA1127B6} - C:\Program Files\Yandex\YandexBarIE\yndbar.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll

O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\System32\igfxtray.exe

O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\System32\hkcmd.exe

O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\System32\igfxpers.exe

O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\QtZgAcer.EXE

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [skyTel] SkyTel.EXE

O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE

O4 - HKLM\..\Run: [AzMixerSel] C:\Program Files\Realtek\InstallShield\AzMixerSel.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"

O4 - HKLM\..\Run: [sony Ericsson PC Suite] "C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions

O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [userFaultCheck] %systemroot%\system32\dumprep 0 -u

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [Punto Switcher] C:\Program Files\Punto Switcher\ps.exe

O4 - HKCU\..\Run: [Yupdate!] "C:\Program Files\Common Files\Yandex\Yupdate\yupdate.exe"

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User '?')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User '?')

O4 - HKUS\S-1-5-21-73586283-117609710-725345543-1004\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe (User '?')

O4 - HKUS\S-1-5-21-73586283-117609710-725345543-1004\..\Run: [Yupdate!] "C:\Program Files\Common Files\Yandex\Yupdate\yupdate.exe" (User '?')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User '?')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - http://vkontakte.ru/uploader/ImageUploader4.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{3672E7FB-CE41-4F75-AE4D-C82028FEE721}: NameServer = 10.20.1.1

O17 - HKLM\System\CCS\Services\Tcpip\..\{C017C808-A0A8-4D73-BA0E-D27FC1CB77DF}: NameServer = 10.20.1.1

O21 - SSODL: 0CIDCJFH - {58342E77-5FDC-1392-3371-2ABF68400CEE} - C:\WINDOWS\System32\Okiklo32.dll (file missing)

O21 - SSODL: mtklefap - {A417E6A2-9AC9-44E1-8B87-45A8EE8A5223} - C:\WINDOWS\System32\zhbqgu32.dll

O21 - SSODL: mtklef - {E544C310-A6D4-4DED-6BBD-F3C529857C01} - C:\WINDOWS\System32\ltaiba32.dll (file missing)

O22 - SharedTaskScheduler: Предзагрузчик Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll

O22 - SharedTaskScheduler: Демон кэша категорий компонентов - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll

O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1150\Intel 32\IDriverT.exe

O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS\System32\imapi.exe

O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINDOWS\System32\mnmsrvc.exe

O23 - Service: Служба сетевого DDE (NetDDE) - Корпорация Майкрософт - C:\WINDOWS\system32\netdde.exe

O23 - Service: Диспетчер сетевого DDE (NetDDEdsdm) - Корпорация Майкрософт - C:\WINDOWS\system32\netdde.exe

O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe

O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe

O23 - Service: Reset 5 - Unknown owner - C:\WINDOWS\system32\srvany.exe

O23 - Service: Модуль поддержки смарт-карт (SCardDrv) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS\system32\smlogsvc.exe

O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe

O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS\System32\wbem\wmiapsrv.exe

--

[Pili]

Включите брандмауэр windows (если включится), дополнительно, в настройках подключения по лок. сети отключите службу доступа к файлам и принтерам сети (снять галочку), в настройках протокола tcp/ip - доп. параметры- wins - отключить netbios

Далее:

- Cкачайте CureIT и запустите полную проверку всех дисков в безопасном режиме. Перезагрузитесь в обычный режим.

- Скачайте AVZ и HijackThis и распакуйте архивы avz4.zip и HiJackThis.zip в отдельные папки.

- Отключите восстановление системы, закройте все программы, включая антивирусные программы и firewall, оставьте запущенным только Internet Explorer.

- Запустите AVZ и обновите базы (Файл - Обновление баз). Выберите из меню Файл -Стандартные скрипты и поставьте галку напротив 3-го скрипта и нажмите "Выполнить отмеченные скрипты". После выполнения скрипта обязательно перезагрузите компьютер.

- Запустите AVZ. Выберите из меню Файл - Стандартные скрипты, поставьте галку напротив 2-го скрипта и нажмите "Выполнить отмеченные скрипты".

- Запустите HijackThis. В появившимся бланке, с пользовательском соглашением, нажмите на кнопку I Accept.. Нажмите на кнопку "Do a system scan and save a logfile". Заархивируйте полученный лог.

- Вложите в сообщение файлы логов (zip файлы из каталога AVZ\LOG и HijackThis), всего должно быть 3 файла: virusinfo_syscure.zip, virusinfo_syscheck.zip, hijackthis.zip

После формирования логов пофиксить в HJT (если останется)

O21 - SSODL: 0CIDCJFH - {58342E77-5FDC-1392-3371-2ABF68400CEE} - C:\WINDOWS\System32\Okiklo32.dll (file missing)

O21 - SSODL: mtklefap - {A417E6A2-9AC9-44E1-8B87-45A8EE8A5223} - C:\WINDOWS\System32\zhbqgu32.dll

O21 - SSODL: mtklef - {E544C310-A6D4-4DED-6BBD-F3C529857C01} - C:\WINDOWS\System32\ltaiba32.dll (file missing)

Изменено 22 января, 2008 пользователем Pili

[Z@R@Z@88]

Включите брандмауэр windows (если включится), дополнительно, в настройках подключения по лок. сети отключите службу доступа к файлам и принтерам сети (снять галочку), в настройках протокола tcp/ip - доп. параметры- wins - отключить netbios

Далее:

- Cкачайте CureIT и запустите полную проверку всех дисков в безопасном режиме. Перезагрузитесь в обычный режим.

- Скачайте AVZ и HijackThis и распакуйте архивы avz4.zip и HiJackThis.zip в отдельные папки.

- Отключите восстановление системы, закройте все программы, включая антивирусные программы и firewall, оставьте запущенным только Internet Explorer.

- Запустите AVZ и обновите базы (Файл - Обновление баз). Выберите из меню Файл -Стандартные скрипты и поставьте галку напротив 3-го скрипта и нажмите "Выполнить отмеченные скрипты". После выполнения скрипта обязательно перезагрузите компьютер.

- Запустите AVZ. Выберите из меню Файл - Стандартные скрипты, поставьте галку напротив 2-го скрипта и нажмите "Выполнить отмеченные скрипты".

- Запустите HijackThis. В появившимся бланке, с пользовательском соглашением, нажмите на кнопку I Accept.. Нажмите на кнопку "Do a system scan and save a logfile". Заархивируйте полученный лог.

- Вложите в сообщение файлы логов (zip файлы из каталога AVZ\LOG и HijackThis), всего должно быть 3 файла: virusinfo_syscure.zip, virusinfo_syscheck.zip, hijackthis.zip

После формирования логов пофиксить в HJT (если останется)

в касперском базы до конца не обновляются. загрузочный файл main029.avz поврежден

[ser208]

Да брось пока касперского. Логи давай.

Е, AVZ не обновляется? Распакуй в другое место. Обнови заново.

Изменено 22 января, 2008 пользователем ser208

[Z@R@Z@88]

получилось только 2 лога

чего теперь делать?

virusinfo_syscheck.zip

hijackthis.rar

virusinfo_syscheck.zip

hijackthis.rar

[Pili]

Z@R@Z@88: с помощью cureit проверялись? где ещё один лог virusinfo_syscure.zip?

[Z@R@Z@88]

Z@R@Z@88: с помощью cureit проверялись? где ещё один лог virusinfo_syscure.zip?

проверялась. а почему нет последнего лога не знаю. он после выполнения 2 скипта а AVZ не перезагружается сам, может поэтому

[Pili]

Выполните скрипт

begin

SearchRootkit(true, true);

SetAVZGuardStatus(True);

StopService('ndisrd');

SetServiceStart('ndisrd', 4);

StopService('.netvarttsu');

SetServiceStart('.netvarttsu', 4);

QuarantineFile('C:\WINDOWS\System32\ltaiba32.dll','');

QuarantineFile('C:\WINDOWS\System32\Okiklo32.dll','');

QuarantineFile('.netvarttsu','');

QuarantineFile('C:\WINDOWS\System32\Drivers\ndisrd.sys','');

DeleteFile('C:\WINDOWS\System32\Drivers\ndisrd.sys');

DeleteFile('C:\WINDOWS\System32\Okiklo32.dll');

DeleteFile('C:\WINDOWS\System32\ltaiba32.dll');

DeleteFile('C:\boot.sys');

BC_ImportALL;

BC_QrSvc('.netvarttsu');

BC_QrSvc('ndisrd');

BC_DeleteSvc('ndisrd');

ExecuteSysClean;

BC_Activate;

end.

Компьютер перезагрузится. После перезагрузки выполнить скрипт

begin

CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');

end.

Файл quarantine.zip выложить на ifolder.ru или slil.ru или другой файлообменник и дать ссылку на него в ПМ

Пофиксить в HJT

O21 - SSODL: 0CIDCJFH - {58342E77-5FDC-1392-3371-2ABF68400CEE} - C:\WINDOWS\System32\Okiklo32.dll (file missing)

O21 - SSODL: mtklef - {E544C310-A6D4-4DED-6BBD-F3C529857C01} - C:\WINDOWS\System32\ltaiba32.dll (file missing)

повторите все логи

причина заражения - Windows XP SP1, надо хотя бы эту заплатку ставить, но лучше сразу SP2 и все обновления после него

Изменено 22 января, 2008 пользователем Pili

[Z@R@Z@88]

Выполните скрипт

Компьютер перезагрузится. После перезагрузки выполнить скрипт

Файл quarantine.zip выложить на ifolder.ru или slil.ru или другой файлообменник и дать ссылку на него в ПМ

Пофиксить в HJT

повторите все логи

причина заражения - Windows XP SP1, надо хотя бы эту заплатку ставить, но лучше сразу SP2 и все обновления после него

ПМ? это что имеется ввиду?

O21 - SSODL: 0CIDCJFH - {58342E77-5FDC-1392-3371-2ABF68400CEE} - C:\WINDOWS\System32\Okiklo32.dll (file missing)

O21 - SSODL: mtklef - {E544C310-A6D4-4DED-6BBD-F3C529857C01} - C:\WINDOWS\System32\ltaiba32.dll (file missing)

а у меня такого нету(

[Pili]

Z@R@Z@88: ПМ(РМ) - личные сообщения (personal message ), в теме сообщения, кроме ссылки на карантин, ссылку только не забудьте на тему дать напр так http://www.softboard.ru/index.php?showtopic=49642

нету - значит avz постарался, в любом случае в новых логах видно будет

Изменено 22 января, 2008 пользователем Pili