Результаты провеки

[Onion]

Проблема в следующем.

1. Либо после установки пакета ХП СП3, либо после установки скайпа - начались проблемы с самоотключением интернета, при этом интернет был якобы запущен, а при открывании ярлыка подключения к интернету (посмотреть свойства допустим) он просто мигает и исчезает. Помогала только перезагрузка (по 4-6 раз в день).

2. Подумал что стоит создать 2го пользователя, при этом создать с простыми правами не смог (не была активна галочка где ставится этот вариант), создал с админ правами. В итоге 2 админа, удалить не могу ни того ни другого, ибо при нормальном заходе в виндовс я сразу же захожу под созданным вторым админом. Но при безопасном режиме вижу обе учётные записи, но спустя минуту вылазит окошко об ошибке в загрузке какого-то сервиса и коп будет принудительно перегружен (без варианта отмены).

Пишу вот со 2го пользователя, проверку сделал. логи вот:

[Onion]

проверил Кюрейтом, он чтото нашёл отправил в карантин. Затем Сёрчдстрой нашёл пару ошибок - исправил. После этого сразу зашёл через безопасный режим и только с помощью учётные записи вин2к удалил моего лишнего админопользователя. С этим пока вроде всё разобрал, но интёрнет так же самовольно пропадает и окошко его вызова всё так же подвисает. Может это из-за пакета СП3 всё таки?

[akoK]

Обновите базы AVZ.

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

beginSearchRootkit(true, true);SetAVZGuardStatus(true);QuarantineFile('D:\WINDOWS\system32\twex.exe','');DeleteFile('D:\WINDOWS\system32\twex.exe');BC_ImportALL;BC_Activate;ExecuteSysClean;RebootWindows(true);end.

После выполнения скрипта компьютер перезагрузится.

beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end.

Полученный архив отправьте на akok<at>pisem.net с указанной ссылкой на тему. (at=@)

Пофиксить в HijackThis следующие строчки

F2 - REG:system.ini: UserInit=D:\WINDOWS\system32\userinit.exe,D:\WINDOWS\system32\twex.exe, 

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.

Registry::[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\aawservice][-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ati0dgxx.sys][-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ati0gixx.sys][-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ati0lmxx.sys][-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ati0pjxx.sys][-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ati1qlxx.sys][-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ati1xlxx.sys][-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ati3wbxx.sys][-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ati4boxx.sys][-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ati4gdxx.sys][-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ati4mqxx.sys][-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ati5gxxx.sys][-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ati5ycxx.sys][-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ati6bwxx.sys][-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ati6prxx.sys][-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ati7chxx.sys][-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ati7vpxx.sys][-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ati8bpxx.sys][-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ati8ccxx.sys][-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ati8mtxx.sys][-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ati8ttxx.sys][-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ati8xfxx.sys][-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\ati0dgxx.sys][-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\ati0gixx.sys][-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\ati0lmxx.sys][-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\ati0pjxx.sys][-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\ati1qlxx.sys][-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\ati1xlxx.sys][-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\ati3wbxx.sys][-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\ati4boxx.sys][-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\ati4gdxx.sys][-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\ati4mqxx.sys][-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\ati5gxxx.sys][-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\ati5ycxx.sys][-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\ati6bwxx.sys][-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\ati6prxx.sys][-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\ati7chxx.sys][-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\ati7vpxx.sys][-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\ati8bpxx.sys][-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\ati8ccxx.sys][-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\ati8mtxx.sys][-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\ati8ttxx.sys][-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\ati8xfxx.sys]FileLook::D:\WINDOWS\system32\ativvaxx.dllD:\WINDOWS\system32\ativtmxx.dllD:\WINDOWS\system32\ati3duag.dllD:\WINDOWS\system32\ati3d1ag.dllD:\WINDOWS\system32\ati2dvag.dllD:\WINDOWS\system32\ati2dvaa.dllD:\WINDOWS\system32\ati2cqag.dllDirLook::

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix, скопируйте текст из C:\ComboFix.txt в сообщение, еcли лог окажется очень большой, запакуйте ComboFix.txt и прикрепите к сообщению.

Вам Bonjour нужен?

Повторите логи.

Изменено 15 января, 2009 пользователем akoK

[Onion]

1. Как профиксить Хайджеком, не нашёл куда код вставить... После сканирования описанные вами файлы не обнаружил.

2. Бонжур лично не устанавливал, наверно не нужен. я могу его удалять?

3. Заметил что все ярлыки на столе одновременно моргают единожды (у меня такое сразу после включения компа) и тут же инет пропадает и окошко зависает.

РСитовские логи

[akoK]

Как "пофиксить" с помощью HijackThis

[akoK]

Отключите востановление системы

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

beginSearchRootkit(true, true);SetAVZGuardStatus(true);QuarantineFile('D:\WINDOWS\services.exe','');DeleteFile('D:\WINDOWS\services.exe');DeleteFile('D:\System Volume Information\_restore{8EB2B4F9-2C2E-4938-99D2-19A9363747A2}\RP11\A0001393.dll');BC_ImportALL;BC_Activate;ExecuteSysClean;RebootWindows(true);end.

После выполнения скрипта компьютер перезагрузится.

beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end.

Полученный архив отправьте на akok<at>pisem.net с указанной ссылкой на тему. (at=@)

Деинсталлируйте ComboFix: нажмите пуск – выполнить - Combofix /u

Скачайте OTCleanIt, запустите, нажмите Clean up

Повторите логи AVZ и RSIT.

[Onion]

Вот.

[Onion]

Так и не услышал, советуете ли вы удалить Бонжур? Специально он не устанавливался.

[Onion]

Заметил странную вещь, в ИЕ, ярлыки во вкладке Ссылки иногда произвольно меняются. Вот скрин:

[akoK]

Чисто.

Попробуйте сбросить кеш IE. Если будут продолжаться проблемы то IE - сервис - свойства обозраевателя - вкладка "Дополнительно" - нажать на кнопачку сброс.

В логах чисто.

[Onion]

Сделал Сброс, ярлычки вернулись на свои места.посмотрим что будет дальше.

3й спрошу - Бонжур удалить? ))

Какую операционную систему порекомендуете в случае переустановки - Висту или ХР СП3 (хотя сейчас обновлял пакет с СП2 до СП3, но мне говорили что у висты при выходе в инет потери до 5%, а в ХП - 10-15%)

[Onion]

Только что опять подвисла ((( Что делать - не знаю(

[akoK]

Бонжур удаляйте.

Если машина с высокой производительностью...то можно и vista.... но только SP1.

Только что опять подвисла ((( Что делать - не знаю(

Подготовьте комплект логов....посмотрим.

[Onion]

"!!! Внимание !!! Восстановлено 7 функций KiST в ходе работы антируткита" АВЗ уже который раз выдаёт это сообщение при проверки скриптами стандартными.

[Onion]

Также бывает (без понятия как) что зависает так, что интернет невыключается просто) т.е. он подвисает не отрубая инет, а наоборот. =(

[akoK]

!!! Внимание !!! Восстановлено 7 функций KiST в ходе работы антируткита" АВЗ уже который раз выдаёт это сообщение при проверки скриптами стандартными.

Ничего страшного... AVZ снимает перехваты.

[Onion]

Переустановил винду, проблемы исчезли) Благодарю за помощь! Какие способы защиты посоветуете чтобы обезопасится от вирусов?

[akoK]

Прочитайте тут