Alexey75 Опубликовано 4 сентября, 2008 Жалоба Поделиться Опубликовано 4 сентября, 2008 Всем доброго дня! Вторые сутки всеми правдами и неправдами пытаюсь вылечить машинку у друга, которая поймала парочку бацилл с "вконтакте дот ру". Выражаются эти бациллы в бесконтрольной спамовой рассылки с машины и убийством у всех пользователей в свойствах экрана закладки "Рабочий стол" и "Заставка" :) . Ну, тут я понял, картинка рабочего стола и заставка замещаются двумя соотв файлами , которые генерачатся в system32 каким-то ехешником. Долго читал эту ветку в форуме, уже даже попытался собственные скрипты для АВЗ сделать, но безрезультатно. Прошу о помощи. Логи в атт. Спасибо. P.S. АВЗ ношу с собой на флешке. Факт, на всех машинах АВЗ русский, а на этой какого-то английский! вчём дело? hijackthis.log virusinfo_syscure.zip hijackthis.log virusinfo_syscure.zip Ссылка на комментарий Поделиться на другие сайты Поделиться
ser208 Опубликовано 4 сентября, 2008 Жалоба Поделиться Опубликовано 4 сентября, 2008 (изменено) Cure.zip из сообщения убери, это архив с вирусом. Прикрепить нужно другой архив. Проверку системного диска CureIt в безопасном режиме ты пропустил наверное. Скачай IceSword Слева внизу найди меню File, в нем найди следующие файлы и удали по правой кнопке Force Delete. C:\WINDOWS\system32\WinNt32.dllC:\WINDOWS\system32\tcpsr.sysC:\WINDOWS\System32\Drivers\Winmk71.sysC:\WINDOWS\System32\Drivers\Loj84.sysC:\WINDOWS\System32\Drivers\duD52.sysC:\WINDOWS\System32\Drivers\Ctc61.sysC:\WINDOWS\system32\srxats32.dll Не перегружаясь в HijackThis отметь строки и нажми fix checked. O2 - BHO: LsVpd - {0734AD78-25B9-45D2-949C-ED138915BF22} - C:\WINDOWS\system32\lslibs.dllO20 - Winlogon Notify: srxats - C:\WINDOWS\SYSTEM32\srxats32.dll Не перегружаясь в AVZ меню Файл--Выполнить скрипт. Скопируй код и нажми "Запустить". beginSetAVZGuardStatus(True);SearchRootkit(true, true);QuarantineFile('C:\WINDOWS\Temp\BNC.tmp','');QuarantineFile('C:\WINDOWS\Temp\BN2.tmp','');QuarantineFile('C:\WINDOWS\Temp\BN12.tmp','');QuarantineFile('C:\WINDOWS\Temp\BN1.tmp','');QuarantineFile('C:\WINDOWS\system32\WinNt32.dll','');QuarantineFile('C:\WINDOWS\system32\Drivers\Ctc61.sys','');QuarantineFile('C:\WINDOWS\system32\Drivers\Xsd36.sys','');QuarantineFile('C:\WINDOWS\system32\srxats.dll','');QuarantineFile('C:\WINDOWS\system32\srxats32.dll','');QuarantineFile('C:\WINDOWS\TEMP\nepE.tmp','');QuarantineFile('c:\windows\temp\nepe.tmp','');QuarantineFile('C:\WINDOWS\system32\lslibs.dll','');QuarantineFile('C:\WINDOWS\system32\sysrest32.exe','');QuarantineFile('C:\WINDOWS\system32\blphcgj3j0e9vu.scr','');QuarantineFile('C:\WINDOWS\system32\lphcgj3j0e9vu.exe','');QuarantineFile('C:\WINDOWS\System32\Drivers\Ctc61.sys','');QuarantineFile('C:\WINDOWS\System32\Drivers\duD52.sys','');QuarantineFile('C:\WINDOWS\System32\Drivers\Loj84.sys','');QuarantineFile('C:\WINDOWS\System32\Drivers\Winmk71.sys','');QuarantineFile('C:\WINDOWS\system32\sysrest.sys','');QuarantineFile('tcpsr.sys','');SetServiceStart('Winmk71', 4);SetServiceStart('Ctc61', 4);SetServiceStart('tcpsr', 4);SetServiceStart('sysrest.sys', 4);SetServiceStart('duD52', 4);SetServiceStart('Loj84', 4);DeleteService('tcpsr');DeleteService('sysrest.sys');DeleteService('Loj84');DeleteService('duD52');DeleteService('Ctc61');DeleteService('Winmk71');TerminateProcessByName('C:\WINDOWS\system32\lphcgj3j0e9vu.exe');DelBHO('{0734AD78-25B9-45D2-949C-ED138915BF22}');DeleteFile('C:\Documents and Settings\Victoria\Local Settings\Temp\~DFFB8B.tmp');DeleteFile('C:\Documents and Settings\Victoria\Local Settings\Temp\~DFFB11.tmp');DeleteFile('C:\WINDOWS\TEMP\nepE.tmp');DeleteFile('C:\WINDOWS\system32\srxats32.dll');DeleteFile('C:\WINDOWS\system32\srxats.dll');DeleteFile('C:\WINDOWS\system32\Drivers\Xsd36.sys');DeleteFile('C:\WINDOWS\system32\Drivers\Ctc61.sys');DeleteFile('C:\WINDOWS\System32\Drivers\Ctc61.sys');DeleteFile('C:\WINDOWS\System32\Drivers\duD52.sys');DeleteFile('C:\WINDOWS\System32\Drivers\Loj84.sys');DeleteFile('C:\WINDOWS\system32\sysrest.sys');DeleteFile('tcpsr.sys');DeleteFile('C:\WINDOWS\System32\Drivers\Winmk71.sys');DeleteFile('C:\WINDOWS\system32\lphcgj3j0e9vu.exe');DeleteFile('C:\WINDOWS\system32\blphcgj3j0e9vu.scr');DeleteFile('C:\WINDOWS\system32\sysrest32.exe');DeleteFile('C:\WINDOWS\system32\lslibs.dll');DeleteFile('C:\WINDOWS\system32\WinNt32.dll');DeleteFile('C:\WINDOWS\Temp\BN1.tmp');DeleteFile('C:\WINDOWS\Temp\BN12.tmp');DeleteFile('C:\WINDOWS\Temp\BN2.tmp');DeleteFile('C:\WINDOWS\Temp\BNC.tmp');BC_ImportAll;ExecuteSysClean;ExecuteRepair(5);ExecuteRepair(6);ExecuteRepair(10);BC_Activate;RebootWindows(true);end. Компьютер перезагрузится. После перезрузки выполни еще скрипт. beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end. И вышли получившийся карантин мне в PM. Повтори все логи. З.Ы. Это ужас что делают с компами пользователей вирусописатели. Изменено 4 сентября, 2008 пользователем ser208 Ссылка на комментарий Поделиться на другие сайты Поделиться
Alexey75 Опубликовано 4 сентября, 2008 Автор Жалоба Поделиться Опубликовано 4 сентября, 2008 Ser208, большое спасибо! Сегодня вечером после работы попробую, надеюсь на положительный результат. отпишу. Ссылка на комментарий Поделиться на другие сайты Поделиться
Alexey75 Опубликовано 4 сентября, 2008 Автор Жалоба Поделиться Опубликовано 4 сентября, 2008 Выполнил все указанные инструкции, стало гораздо легче! заметно меньше вирусов, вернулись закладки в свойства дектопа. НО: 1. В компьютере не нашлись: Winmk71.sys Loj84.sys duD52.sys 2. Не фиксится O20 - Winlogon Notify: srxats - C:\WINDOWS\SYSTEM32\srxats32.dll после каждого скана это строчка появляется снова. 3. Аваст орёт "обнаружен руткит Winnt32.dll" и таки WinNt32.dll после рестарта опять на месте!!! Извините, не добавил один лог :D virusinfo_syscure.zip virusinfo_syscheck.zip hijackthis.log virusinfo_syscure.zip virusinfo_syscheck.zip hijackthis.log Ссылка на комментарий Поделиться на другие сайты Поделиться
ser208 Опубликовано 4 сентября, 2008 Жалоба Поделиться Опубликовано 4 сентября, 2008 (изменено) Обязательно скачай IceSword Слева внизу найди меню File, в нем найди следующие файлы и удали по правой кнопке Force Delete. C:\WINDOWS\system32\WinNt32.dllC:\WINDOWS\system32\tcpsr.sysC:\WINDOWS\System32\srxats.dllC:\WINDOWS\System32\Drivers\Xsd36.sysC:\WINDOWS\System32\Drivers\Ctc61 Пофикси O20 - Winlogon Notify: srxats - srxats.dll (file missing) Скрипт в AVZ. beginSetAVZGuardStatus(True);SearchRootkit(true, true);SetServiceStart('tcpsr', 4);SetServiceStart('Ctc61', 4);DeleteFile('C:\WINDOWS\system32\Drivers\Xsd36.sys');DeleteFile('C:\WINDOWS\system32\srxats.dll');DeleteFile('C:\WINDOWS\system32\WinNt32.dll');DeleteFile('C:\WINDOWS\System32\Drivers\Ctc61.sys');DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');BC_ImportAll;BC_DeleteSvc('Ctc61');BC_DeleteSvc('tcpsr');ExecuteSysClean;BC_Activate;RebootWindows(true);end. Ну и логи еще раз. . Аваст орёт Аваст только орет. Используй CureIt в безопасном режиме. Изменено 4 сентября, 2008 пользователем ser208 Ссылка на комментарий Поделиться на другие сайты Поделиться
Alexey75 Опубликовано 4 сентября, 2008 Автор Жалоба Поделиться Опубликовано 4 сентября, 2008 Автору респект и уважуха за скрипты! Наконец-то появилась возможность ночевать дома, а не у друга :) Вроде всё чистенько! а автораны и лишние службы обязательно отключим! Спасибо! virusinfo_syscheck.zip virusinfo_syscure.zip hijackthis.log virusinfo_syscheck.zip virusinfo_syscure.zip hijackthis.log Ссылка на комментарий Поделиться на другие сайты Поделиться
ser208 Опубликовано 4 сентября, 2008 Жалоба Поделиться Опубликовано 4 сентября, 2008 Похоже чисто. Ссылка на комментарий Поделиться на другие сайты Поделиться
akoK Опубликовано 7 сентября, 2008 Жалоба Поделиться Опубликовано 7 сентября, 2008 Не похоже...а чисто Ссылка на комментарий Поделиться на другие сайты Поделиться
Рекомендуемые сообщения