levantin Опубликовано 26 августа, 2008 Жалоба Поделиться Опубликовано 26 августа, 2008 Здравствуйте, на два системника на работе подцепил что-то, проявляется в виде смены заставки на рабочем столе, и возможно еще в чем-то... Обновленный NOD32 сковырнул трех паразитов, но видимо не до конца. Хотел тестить CureIT системники не грузятся в безопасный режим (про F8 в курсе, выходит меню выбора диска загрузки). В обычном режиме cureit выдает ошибку. Логи AVZ и HT прикладываю. Вторым компом займусь позже заранее благодарен. hijackthis.log virusinfo_syscheck.zip virusinfo_syscure.zip hijackthis.log virusinfo_syscheck.zip virusinfo_syscure.zip Ссылка на комментарий Поделиться на другие сайты Поделиться
akoK Опубликовано 26 августа, 2008 Жалоба Поделиться Опубликовано 26 августа, 2008 AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". beginSearchRootkit(true, true);SetAVZGuardStatus(true);DeleteFile('C:\WINDOWS\system32\blphcnrdj0e347.scr');BC_ImportDeletedList;ExecuteRepair(6);ExecuteRepair(5);BC_Activate;ExecuteSysClean;RebootWindows(true);end. После выполнения скрипта компьютер перезагрузится. Ссылка на комментарий Поделиться на другие сайты Поделиться
levantin Опубликовано 26 августа, 2008 Автор Жалоба Поделиться Опубликовано 26 августа, 2008 Спасибо! Первому полегчало. Логи второго компа. virusinfo_syscheck.zip virusinfo_syscure.zip __________________.txt virusinfo_syscheck.zip virusinfo_syscure.zip __________________.txt Ссылка на комментарий Поделиться на другие сайты Поделиться
akoK Опубликовано 26 августа, 2008 Жалоба Поделиться Опубликовано 26 августа, 2008 (изменено) AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". beginSearchRootkit(true, true);SetAVZGuardStatus(true);SetServiceStart('TermServiceNla', 4);SetServiceStart('NetlogonCOMSysApp', 4);SetServiceStart('LmHostsNetDDE', 4);SetServiceStart('COMSysAppWebClient', 4);SetServiceStart('COMSysAppNtLmSsp', 4);QuarantineFile('C:\WINDOWS\RTHDCPL.EXE','');SetServiceStart('Winci41', 4);QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll','');QuarantineFile('C:\WINDOWS\system32\GOLDMA~1.DLL','');QuarantineFile('c:\windows\system32\lphcrgmj0ep9n.exe','');DeleteFile('c:\windows\system32\lphcrgmj0ep9n.exe');DeleteFile('C:\WINDOWS\system32\lphcrgmj0ep9n.exe');DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');DeleteFile('C:\WINDOWS\System32\Drivers\Winci41.sys');DeleteFile('C:\WINDOWS\system32\blphcrgmj0ep9n.scr');DeleteFile('WinCtrl32.dll');DeleteFile('C:\DOCUME~1\7B5C~1\LOCALS~1\Temp\loader.exe');DeleteService('Winci41');DeleteService('TermServiceNla');DeleteService('NetlogonCOMSysApp');DeleteService('LmHostsNetDDE');DeleteService('COMSysAppWebClient');DeleteService('COMSysAppNtLmSsp');BC_ImportALL;BC_QrSvc('COMSysAppNtLmSsp');BC_QrSvc('COMSysAppWebClient');BC_QrSvc('LmHostsNetDDE');BC_QrSvc('NetlogonCOMSysApp');BC_QrSvc('TermServiceNla');BC_DeleteSvc('TermServiceNla');BC_DeleteSvc('NetlogonCOMSysApp');BC_DeleteSvc('LmHostsNetDDE');BC_DeleteSvc('COMSysAppWebClient');BC_DeleteSvc('COMSysAppNtLmSsp');ExecuteRepair(6);ExecuteRepair(5);BC_Activate;ExecuteSysClean;RebootWindows(true);end. После выполнения скрипта компьютер перезагрузится. beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end. Полученный архив отправьте на akok<at>pisem.net с указанной ссылкой на тему. (at=@) Пофиксить в HijackThis следующие строчки O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\SYSTEM32\WinCtrl32.dll Повторите логи. Изменено 26 августа, 2008 пользователем akoK Ссылка на комментарий Поделиться на другие сайты Поделиться
levantin Опубликовано 27 августа, 2008 Автор Жалоба Поделиться Опубликовано 27 августа, 2008 Логи в ветку, зип в ящик. virusinfo_syscheck.zip virusinfo_syscure.zip hijackthis.log virusinfo_syscheck.zip virusinfo_syscure.zip hijackthis.log Ссылка на комментарий Поделиться на другие сайты Поделиться
ser208 Опубликовано 27 августа, 2008 Жалоба Поделиться Опубликовано 27 августа, 2008 (изменено) Скачай программку IceSword. В левой части найди внизу File. Появиться аналог проводника, найди файл C:\WINDOWS\System32\Drivers\Winjp30.sys и по правой кнопке мыши Force Delete. В Hijack пофиксить строку: O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\ В AVZ выполнить скрипт. beginSetAVZGuardStatus(True);SearchRootkit(true, true);SetServiceStart('Winjp30', 4);DeleteService('Winjp30');DeleteFile('C:\WINDOWS\System32\Drivers\Winjp30.sys');BC_ImportAll;ExecuteSysClean;BC_Activate;RebootWindows(true);end. Повтори логи еще раз. Изменено 27 августа, 2008 пользователем ser208 Ссылка на комментарий Поделиться на другие сайты Поделиться
levantin Опубликовано 27 августа, 2008 Автор Жалоба Поделиться Опубликовано 27 августа, 2008 логи выкладываю, но фиксить нечего было ни в IS, ни в HT virusinfo_syscheck.zip virusinfo_syscure.zip hijackthis.log virusinfo_syscheck.zip virusinfo_syscure.zip hijackthis.log Ссылка на комментарий Поделиться на другие сайты Поделиться
levantin Опубликовано 29 августа, 2008 Автор Жалоба Поделиться Опубликовано 29 августа, 2008 У меня еще осталась проблемка c explorer. При его использовании загружается IE отправляет на freevirusscan.com и виснет. Ссылка на комментарий Поделиться на другие сайты Поделиться
akoK Опубликовано 29 августа, 2008 Жалоба Поделиться Опубликовано 29 августа, 2008 AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". beginSearchRootkit(true, true);SetAVZGuardStatus(true);DeleteService('Winjp30');DeleteService('SwPrvxmlprov');DeleteService('MSIServerlanmanserver');DeleteFile('C:\WINDOWS\System32\Drivers\Winjp30.sys');DeleteFile('C:\WINDOWS\system32\GOLDMA~1.DLL');DelBHO('{D26AAB3B-B0DD-456C-A7E5-4DA9565FD6EE}');BC_ImportDeletedList;BC_DeleteSvc('SwPrvxmlprov');BC_DeleteSvc('MSIServerlanmanserver');BC_Activate;ExecuteSysClean;RebootWindows(true);end. После выполнения скрипта компьютер перезагрузится. Пофиксить в HijackThis следующие строчки O15 - Trusted Zone: *.ssaabb.com Повторите логи. Ссылка на комментарий Поделиться на другие сайты Поделиться
levantin Опубликовано 29 августа, 2008 Автор Жалоба Поделиться Опубликовано 29 августа, 2008 Safe mode грузится, explorer в порядке, логи повторяю hijackthis.log virusinfo_syscheck.zip virusinfo_syscure.zip hijackthis.log virusinfo_syscheck.zip virusinfo_syscure.zip Ссылка на комментарий Поделиться на другие сайты Поделиться
akoK Опубликовано 29 августа, 2008 Жалоба Поделиться Опубликовано 29 августа, 2008 Отключите восстановление системы там все, что удалили, законсервировано....потом можно включить. Больше ничего вредоносного не вижу. Ссылка на комментарий Поделиться на другие сайты Поделиться
levantin Опубликовано 1 сентября, 2008 Автор Жалоба Поделиться Опубликовано 1 сентября, 2008 Комп периодически пезагружается. Восстановление отключал-включал... вобщем не понял что надо сделать. Ссылка на комментарий Поделиться на другие сайты Поделиться
Рекомендуемые сообщения
Для публикации сообщений создайте учётную запись или авторизуйтесь
Вы должны быть пользователем, чтобы оставить комментарий
Создать учетную запись
Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!
Регистрация нового пользователяВойти
Уже есть аккаунт? Войти в систему.
Войти