Кажется что-то прицепилось

[dytyna]

Буду благодарна.

[ser208]

В HijackThis выдели значения и нажми Fix checked

F3 - REG:win.ini: run= O2 - BHO: (no name) - {02060327-BBE9-48AE-83E6-A358C1C1EED6} - e:\windows\system32\fqggrub.dllO2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)O4 - HKLM\..\Run: [h99rcdaf] E:\WINDOWS\system32\h99rcdaf.exeO4 - HKCU\..\Run: [h99rcdaf] E:\WINDOWS\system32\h99rcdaf.exeO4 - HKUS\S-1-5-19\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetupo.dll" "%SystemRoot%\System32\syssetup.dll" (User 'LOCAL SERVICE')O4 - HKUS\S-1-5-19\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'LOCAL SERVICE')O4 - HKUS\S-1-5-20\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetupo.dll" "%SystemRoot%\System32\syssetup.dll" (User 'NETWORK SERVICE')O4 - HKUS\S-1-5-18\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetupo.dll" "%SystemRoot%\System32\syssetup.dll" (User 'SYSTEM')O4 - HKUS\.DEFAULT\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetupo.dll" "%SystemRoot%\System32\syssetup.dll" (User 'Default user')O20 - Winlogon Notify: vdscfjcg - E:\WINDOWS\SYSTEM32\fqggrub.dll

В AVZ меню Файл-Выполнить скрипт. Скопируй код и нажми "Запустить".

beginSetAVZGuardStatus(True);SearchRootkit(true, true);DelBHO('{02478D38-C3F9-4efb-9B51-7695ECA05670}');DelBHO('{02060327-BBE9-48AE-83E6-A358C1C1EED6}');QuarantineFile('E:\WINDOWS\system32\drivers\ctnuefap.sys','');QuarantineFile('E:\WINDOWS\system32\AppCert\wnl32.dll','');QuarantineFile('E:\WINDOWS\system32\AppCert\wsil32.dll','');QuarantineFile('E:\WINDOWS\system32\AppCert\s52.dll','');QuarantineFile('E:\WINDOWS\system32\AppCert\prx992h.dll','');SetServiceStart('ctnuefap', 4);DeleteService('ctnuefap');TerminateProcessByName('e:\windows\system32\h99rcdaf.exe');QuarantineFile('E:\WINDOWS\system32\h99rcdaf.exe','');QuarantineFile('E:\WINDOWS\system32\baseikwq32.dll','');QuarantineFile('e:\windows\system32\h99rcdaf.exe','');DeleteFile('E:\WINDOWS\system32\AppCert\wsil32.dll');DeleteFile('E:\WINDOWS\system32\AppCert\wnl32.dll');DeleteFile('E:\WINDOWS\system32\AppCert\s52.dll');DeleteFile('E:\WINDOWS\system32\AppCert\prx992h.dll');DeleteFile('e:\windows\system32\h99rcdaf.exe');DeleteFile('E:\WINDOWS\system32\baseikwq32.dll');DeleteFile('E:\WINDOWS\system32\h99rcdaf.exe');DeleteFile('E:\WINDOWS\system32\drivers\ctnuefap.sys');BC_ImportAll;ExecuteSysClean;BC_Activate;RebootWindows(true);end.

После перезагрузки выполни еще скрипт.

beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end.

.. и получившийся карантин вышли на почту "мой ник" собака rambler.ru

Повтори логи.

[dytyna]

Спасибо, все проделала. Логи повторно.

[akoK]

Скачайте Icesword

Запустите программу.

Внизу слева выберите меню File.

Появится аналог проводника. Найдите в нем файл руткита:

E:\WINDOWS\system32\drivers\ctnuefap.sys

Нажмите по нему правой кнопкой мыши и выберите force delete.

На запрос потверждения ответьте "да".

Перезагрузите компьютер.

Пофиксить в HijackThis следующие строчки

	O2 - BHO: (no name) - {02060327-BBE9-48AE-83E6-A358C1C1EED6} - e:\windows\system32\fqggrub.dllO2 - BHO: (no name) - {EC48E4A5-81C0-4B7F-8109-2BDDB6D5E77F} - E:\WINDOWS\system32\d3dpmeshb.dllO4 - HKUS\S-1-5-18\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetupo.dll" "%SystemRoot%\System32\syssetup.dll" (User 'SYSTEM')O4 - HKUS\.DEFAULT\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetupo.dll" "%SystemRoot%\System32\syssetup.dll" (User 'Default user')O20 - Winlogon Notify: vdscfjcg - E:\WINDOWS\SYSTEM32\fqggrub.dll 

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

beginSearchRootkit(true, true);SetAVZGuardStatus(true);SetServiceStart('ctnuefap', 4);QuarantineFile('E:\WINDOWS\System32\nwprovau.dll','');QuarantineFile('E:\WINDOWS\system32\d3dpmeshb.dll','');QuarantineFile('e:\windows\system32\fqggrub.dll','');QuarantineFile('fqggrub.dll','');QuarantineFile('E:\WINDOWS\system32\drivers\ctnuefap.sys','');QuarantineFile('E:\WINDOWS\system32\Drivers\ctnuefap.sys','');DeleteFile('E:\WINDOWS\system32\drivers\ctnuefap.sys');DeleteFile('fqggrub.dll');DeleteFile('e:\windows\system32\fqggrub.dll');DeleteFile('E:\WINDOWS\system32\d3dpmeshb.dll');DelBHO('{EC48E4A5-81C0-4B7F-8109-2BDDB6D5E77F}');DelBHO('{02060327-BBE9-48AE-83E6-A358C1C1EED6}');DeleteService('ctnuefap');BC_ImportALL;BC_Activate;ExecuteSysClean;RebootWindows(true);end.

После выполнения скрипта компьютер перезагрузится.

beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end.

Полученный архив отправьте на akok<at>pisem.net с указанной ссылкой на тему. (at=@)

Повторите логи.

А востановление системы отключить надо :tabl_dots:

Изменено 23 октября, 2008 пользователем akoK

[dytyna]

А востановление системы отключить надо :tabl_dots:

Интересно, но я его даже не включала. Оказалось - включено. Отключила, перезагрузила систему - опять включено. Тоже какие-то проделки вируса? Сейчас уже не включается вроде.

[akoK]

Пофиксить в HijackThis следующие строчки

O2 - BHO: (no name) - {02060327-BBE9-48AE-83E6-A358C1C1EED6} - (no file)O20 - Winlogon Notify: vdscfjcg - E:\WINDOWS\ 

Какие еще проблемы наблюдаются?

[dytyna]

Какие еще проблемы наблюдаются?

Готово. Повторять логи?

Проблемы еще такие: комп выключается приблизительно 10 мин. Звук пропал, я писала, но никто ничего толкового не посоветовал.

[akoK]

Включена очистка файла подкачки :)

Посмотрите есть ли в реестре:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management

Имя параметра: ClearPageFileAtShutdown

Тип параметра: Параметр DWORD

Значение: 1

Если есть смените значение на 0

Можно еще попробовать установить SP3...

Но для страховки давайте так....активируйте AVZPM и повторите логи.

P>S> Пропустил запись :)

Перед выполнением прочитайте и подготовьтесь

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

beginSearchRootkit(true, true);SetAVZGuardStatus(true);ExecuteRepair(14);RebootWindows(true);end.

После выполнения скрипта компьютер перезагрузится.

[dytyna]

Включена очистка файла подкачки :D

Посмотрите есть ли в реестре:

Такого в реестре не обнаружилось. Компьютер долго молчит при выключении на словах "сохранение параметров". И кто ее мог включить?

Но для страховки давайте так....активируйте AVZPM и повторите логи.

Не знаю, как активировать: написано только delete (принтскрин в прицепе).

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

beginSearchRootkit(true, true);SetAVZGuardStatus(true);ExecuteRepair(14);RebootWindows(true);end.

После выполнения скрипта компьютер перезагрузится.

В этот раз не хотел перезагружаться, пока не закрыла AVZ.

[dytyna]

Новые логи.

[Pili]

dytyna: деинсталлируйте Bonjour Service

В остальном чисто.

Можете доп. провериться с помощью Malwarebytes' Anti-Malware

Рекомендую не работать за компьютером с правами администратора, использовать IE или отключить в нем ActiveX, использовать Firefox c плагином NoScript и AdBlock Plus

Советую прочитать электронную книгу "Безопасный Интернет. Универсальная защита для Windows ME - Vista" и для предотвращения заражения в будущем следовать рекомендациям, описанным в этой книге.