levantin Опубликовано 26 августа, 2008 Жалоба Поделиться Опубликовано 26 августа, 2008 Здравствуйте, на два системника на работе подцепил что-то, проявляется в виде смены заставки на рабочем столе, и возможно еще в чем-то... Обновленный NOD32 сковырнул трех паразитов, но видимо не до конца. Хотел тестить CureIT системники не грузятся в безопасный режим (про F8 в курсе, выходит меню выбора диска загрузки). В обычном режиме cureit выдает ошибку. Логи AVZ и HT прикладываю. Вторым компом займусь позже заранее благодарен. hijackthis.log virusinfo_syscheck.zip virusinfo_syscure.zip hijackthis.log virusinfo_syscheck.zip virusinfo_syscure.zip Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
akoK Опубликовано 26 августа, 2008 Жалоба Поделиться Опубликовано 26 августа, 2008 AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". beginSearchRootkit(true, true);SetAVZGuardStatus(true);DeleteFile('C:\WINDOWS\system32\blphcnrdj0e347.scr');BC_ImportDeletedList;ExecuteRepair(6);ExecuteRepair(5);BC_Activate;ExecuteSysClean;RebootWindows(true);end. После выполнения скрипта компьютер перезагрузится. Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
levantin Опубликовано 26 августа, 2008 Автор Жалоба Поделиться Опубликовано 26 августа, 2008 Спасибо! Первому полегчало. Логи второго компа. virusinfo_syscheck.zip virusinfo_syscure.zip __________________.txt virusinfo_syscheck.zip virusinfo_syscure.zip __________________.txt Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
akoK Опубликовано 26 августа, 2008 Жалоба Поделиться Опубликовано 26 августа, 2008 (изменено) AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". beginSearchRootkit(true, true);SetAVZGuardStatus(true);SetServiceStart('TermServiceNla', 4);SetServiceStart('NetlogonCOMSysApp', 4);SetServiceStart('LmHostsNetDDE', 4);SetServiceStart('COMSysAppWebClient', 4);SetServiceStart('COMSysAppNtLmSsp', 4);QuarantineFile('C:\WINDOWS\RTHDCPL.EXE','');SetServiceStart('Winci41', 4);QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll','');QuarantineFile('C:\WINDOWS\system32\GOLDMA~1.DLL','');QuarantineFile('c:\windows\system32\lphcrgmj0ep9n.exe','');DeleteFile('c:\windows\system32\lphcrgmj0ep9n.exe');DeleteFile('C:\WINDOWS\system32\lphcrgmj0ep9n.exe');DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');DeleteFile('C:\WINDOWS\System32\Drivers\Winci41.sys');DeleteFile('C:\WINDOWS\system32\blphcrgmj0ep9n.scr');DeleteFile('WinCtrl32.dll');DeleteFile('C:\DOCUME~1\7B5C~1\LOCALS~1\Temp\loader.exe');DeleteService('Winci41');DeleteService('TermServiceNla');DeleteService('NetlogonCOMSysApp');DeleteService('LmHostsNetDDE');DeleteService('COMSysAppWebClient');DeleteService('COMSysAppNtLmSsp');BC_ImportALL;BC_QrSvc('COMSysAppNtLmSsp');BC_QrSvc('COMSysAppWebClient');BC_QrSvc('LmHostsNetDDE');BC_QrSvc('NetlogonCOMSysApp');BC_QrSvc('TermServiceNla');BC_DeleteSvc('TermServiceNla');BC_DeleteSvc('NetlogonCOMSysApp');BC_DeleteSvc('LmHostsNetDDE');BC_DeleteSvc('COMSysAppWebClient');BC_DeleteSvc('COMSysAppNtLmSsp');ExecuteRepair(6);ExecuteRepair(5);BC_Activate;ExecuteSysClean;RebootWindows(true);end. После выполнения скрипта компьютер перезагрузится. beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end. Полученный архив отправьте на akok<at>pisem.net с указанной ссылкой на тему. (at=@) Пофиксить в HijackThis следующие строчки O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\SYSTEM32\WinCtrl32.dll Повторите логи. Изменено 26 августа, 2008 пользователем akoK Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
levantin Опубликовано 27 августа, 2008 Автор Жалоба Поделиться Опубликовано 27 августа, 2008 Логи в ветку, зип в ящик. virusinfo_syscheck.zip virusinfo_syscure.zip hijackthis.log virusinfo_syscheck.zip virusinfo_syscure.zip hijackthis.log Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
ser208 Опубликовано 27 августа, 2008 Жалоба Поделиться Опубликовано 27 августа, 2008 (изменено) Скачай программку IceSword. В левой части найди внизу File. Появиться аналог проводника, найди файл C:\WINDOWS\System32\Drivers\Winjp30.sys и по правой кнопке мыши Force Delete. В Hijack пофиксить строку: O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\ В AVZ выполнить скрипт. beginSetAVZGuardStatus(True);SearchRootkit(true, true);SetServiceStart('Winjp30', 4);DeleteService('Winjp30');DeleteFile('C:\WINDOWS\System32\Drivers\Winjp30.sys');BC_ImportAll;ExecuteSysClean;BC_Activate;RebootWindows(true);end. Повтори логи еще раз. Изменено 27 августа, 2008 пользователем ser208 Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
levantin Опубликовано 27 августа, 2008 Автор Жалоба Поделиться Опубликовано 27 августа, 2008 логи выкладываю, но фиксить нечего было ни в IS, ни в HT virusinfo_syscheck.zip virusinfo_syscure.zip hijackthis.log virusinfo_syscheck.zip virusinfo_syscure.zip hijackthis.log Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
levantin Опубликовано 29 августа, 2008 Автор Жалоба Поделиться Опубликовано 29 августа, 2008 У меня еще осталась проблемка c explorer. При его использовании загружается IE отправляет на freevirusscan.com и виснет. Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
akoK Опубликовано 29 августа, 2008 Жалоба Поделиться Опубликовано 29 августа, 2008 AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". beginSearchRootkit(true, true);SetAVZGuardStatus(true);DeleteService('Winjp30');DeleteService('SwPrvxmlprov');DeleteService('MSIServerlanmanserver');DeleteFile('C:\WINDOWS\System32\Drivers\Winjp30.sys');DeleteFile('C:\WINDOWS\system32\GOLDMA~1.DLL');DelBHO('{D26AAB3B-B0DD-456C-A7E5-4DA9565FD6EE}');BC_ImportDeletedList;BC_DeleteSvc('SwPrvxmlprov');BC_DeleteSvc('MSIServerlanmanserver');BC_Activate;ExecuteSysClean;RebootWindows(true);end. После выполнения скрипта компьютер перезагрузится. Пофиксить в HijackThis следующие строчки O15 - Trusted Zone: *.ssaabb.com Повторите логи. Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
levantin Опубликовано 29 августа, 2008 Автор Жалоба Поделиться Опубликовано 29 августа, 2008 Safe mode грузится, explorer в порядке, логи повторяю hijackthis.log virusinfo_syscheck.zip virusinfo_syscure.zip hijackthis.log virusinfo_syscheck.zip virusinfo_syscure.zip Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
akoK Опубликовано 29 августа, 2008 Жалоба Поделиться Опубликовано 29 августа, 2008 Отключите восстановление системы там все, что удалили, законсервировано....потом можно включить. Больше ничего вредоносного не вижу. Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
levantin Опубликовано 1 сентября, 2008 Автор Жалоба Поделиться Опубликовано 1 сентября, 2008 Комп периодически пезагружается. Восстановление отключал-включал... вобщем не понял что надо сделать. Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.