dytyna Опубликовано 12 февраля, 2009 Жалоба Поделиться Опубликовано 12 февраля, 2009 Давненько меня здесь не было... Даже в правилах появилась новая программа - правда, подготовила логи по-старому - обещаю исправиться Пока что цепляю что есть. Буду благодарна. Ссылка на комментарий Поделиться на другие сайты Поделиться
akoK Опубликовано 13 февраля, 2009 Жалоба Поделиться Опубликовано 13 февраля, 2009 Скачайте Icesword Запустите программу. Внизу слева выберите меню File. Появится аналог проводника. Найдите в нем файл руткита: E:\WINDOWS\system32\Drivers\ati7koxx.sys Нажмите по нему правой кнопкой мыши и выберите force delete. На запрос потверждения ответьте "да". Перезагрузите компьютер. AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". beginSearchRootkit(true, true);SetAVZGuardStatus(true);SetServiceStart('ati7koxx', 4);SetServiceStart('ati8quxx', 4);SetServiceStart('ati6imxx', 4);SetServiceStart('ati3ydxx', 4);SetServiceStart('ati3quxx', 4);SetServiceStart('ati1osxx', 4);SetServiceStart('ati0ptxx', 4);QuarantineFile('E:\WINDOWS\System32\Drivers\avgtdix.sys','');QuarantineFile('E:\WINDOWS\System32\rs32net.exe','');QuarantineFile('E:\WINDOWS\System32\Drivers\ati8quxx.sys','');QuarantineFile('E:\WINDOWS\System32\Drivers\ati6imxx.sys','');QuarantineFile('E:\WINDOWS\System32\Drivers\ati3ydxx.sys','');QuarantineFile('E:\WINDOWS\System32\Drivers\ati3quxx.sys','');QuarantineFile('E:\WINDOWS\System32\Drivers\ati1osxx.sys','');QuarantineFile('E:\WINDOWS\System32\Drivers\ati0ptxx.sys','');QuarantineFile('E:\WINDOWS\System32\Drivers\ati7koxx.sys','');QuarantineFile('E:\WINDOWS\system32\Drivers\ati7koxx.sys','');DeleteFile('E:\WINDOWS\system32\Drivers\ati7koxx.sys');DeleteFile('E:\WINDOWS\System32\Drivers\ati7koxx.sys');DeleteFile('E:\WINDOWS\System32\Drivers\ati0ptxx.sys');DeleteFile('E:\WINDOWS\System32\Drivers\ati1osxx.sys');DeleteFile('E:\WINDOWS\System32\Drivers\ati3quxx.sys');DeleteFile('E:\WINDOWS\System32\Drivers\ati3ydxx.sys');DeleteFile('E:\WINDOWS\System32\Drivers\ati6imxx.sys');DeleteFile('E:\WINDOWS\System32\Drivers\ati8quxx.sys');DeleteFile('E:\WINDOWS\System32\rs32net.exe');DeleteFile('msansspc.dll');DeleteFile('E:\PROGRA~1\MYCENT~1\InfoBar\MYCENT~1.DLL');DelBHO('{FFFC57DB-1DE3-4303-B24D-CEE6DCDD3D86}');DeleteService('ati7koxx');DeleteService('ati8quxx');DeleteService('ati6imxx');DeleteService('ati3ydxx');DeleteService('ati3quxx');DeleteService('ati1osxx');DeleteService('ati0ptxx');BC_ImportALL;BC_Activate;ExecuteSysClean;RebootWindows(true);end. После выполнения скрипта компьютер перезагрузится. beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end. Полученный архив отправьте на akok<at>pisem.net с указанной ссылкой на тему. (at=@) Повторите логи. Ссылка на комментарий Поделиться на другие сайты Поделиться
dytyna Опубликовано 13 февраля, 2009 Автор Жалоба Поделиться Опубликовано 13 февраля, 2009 Повторные логи. Карантин на почте. Ссылка на комментарий Поделиться на другие сайты Поделиться
akoK Опубликовано 13 февраля, 2009 Жалоба Поделиться Опубликовано 13 февраля, 2009 AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". beginSearchRootkit(true, true);SetAVZGuardStatus(true);DeleteService('ati7koxx');DeleteFile('E:\WINDOWS\system32\Drivers\ati7koxx.sys');BC_ImportDeletedList;BC_Activate;ExecuteSysClean;RebootWindows(true);end. После выполнения скрипта компьютер перезагрузится. Скачайте RSIT или отсюда. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска. Ссылка на комментарий Поделиться на другие сайты Поделиться
dytyna Опубликовано 13 февраля, 2009 Автор Жалоба Поделиться Опубликовано 13 февраля, 2009 Прикрепила Ссылка на комментарий Поделиться на другие сайты Поделиться
akoK Опубликовано 13 февраля, 2009 Жалоба Поделиться Опубликовано 13 февраля, 2009 Скачайте OTMoveIt3 by OldTimer или с зеркала и сохраните на рабочий стол. Запустите OTMoveIt3 (в ОС Windows Vista необходимо запускать через правую кн. мыши от имени администратора) временно выключите антивирус, firewall и другое защитное программное обеспечение. Выделите и скопируйте текст ниже (Ctrl+C) :Processesexplorer.exe:ServicesSUPTSPORXWPPJKVVati7koxx:FilesE:\WINDOWS\System32\Drivers\ati7koxx.sysH:\SCVHSOT.exeE:\WINDOWS\system32\drivers\SUPTSPOR.sysE:\WINDOWS\system32\drivers\XWPPJKVV.sys:Reg[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\h99rcdaf]HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ati0ptxx.sys][-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ati1osxx.sys][-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ati3quxx.sys][-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ati3ydxx.sys][-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ati6imxx.sys][-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ati7koxx.sys][-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ati8quxx.sys][-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Uae04.sys][-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\ati0ptxx.sys][-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\ati1osxx.sys][-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\ati3quxx.sys][-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\ati3ydxx.sys][-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\ati6imxx.sys][-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\ati7koxx.sys][-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\ati8quxx.sys][-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\Uae04.sys][-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{357c31d1-8160-11dd-873c-00195b38c377}][-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{37690133-03de-11dc-b297-c185e73d262c}][-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{64bf1fa1-cab6-11dd-87d0-00195b38c377}][-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{eed3972c-de53-11dd-87e6-00195b38c377}]:Commands[purity][emptytemp][start explorer][Reboot] В OTMoveIt3 под панелью "Paste Instructions for Items to be Moved" (под желтой панелью) вставьте скопированный текст и нажмите кнопку "MoveIt!". Выделите (Ctrl+A) и скопируйте (Ctrl+C) текст из окна под панелью "Results" (правая зеленая панель) в следующее сообщение. Прим: Если файлы и папки не могут быть перемещены немедленно и появиться запись <deleted on reboot>, потребуется перезагрузка. После перезагрузки откройте папку "C:\_OTMoveIt\MovedFiles", найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение. AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". beginSearchRootkit(true, true);SetAVZGuardStatus(true);DeleteFile('E:\DOCUME~1\Olia\LOCALS~1\Temp\svchost.exe');BC_ImportDeletedList;BC_Activate;ExecuteSysClean;RebootWindows(true);end. После выполнения скрипта компьютер перезагрузится. Повторите логи RSIT. Ссылка на комментарий Поделиться на другие сайты Поделиться
dytyna Опубликовано 13 февраля, 2009 Автор Жалоба Поделиться Опубликовано 13 февраля, 2009 Один из логов RSIT не изменился. ========== PROCESSES ========== Process explorer.exe killed successfully. ========== SERVICES/DRIVERS ========== Service SUPTSPOR stopped successfully. Service SUPTSPOR deleted successfully. Service XWPPJKVV stopped successfully. Service XWPPJKVV deleted successfully. Service ati7koxx stopped successfully. Service ati7koxx deleted successfully. ========== FILES ========== File/Folder E:\WINDOWS\System32\Drivers\ati7koxx.sys not found. File/Folder H:\SCVHSOT.exe not found. File/Folder E:\WINDOWS\system32\drivers\SUPTSPOR.sys not found. File/Folder E:\WINDOWS\system32\drivers\XWPPJKVV.sys not found. ========== REGISTRY ========== Registry key HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\h99rcdaf]HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ati0ptxx.sys\\ not found. Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ati1osxx.sys\\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ati3quxx.sys\\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ati3ydxx.sys\\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ati6imxx.sys\\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ati7koxx.sys\\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ati8quxx.sys\\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Uae04.sys\\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\ati0ptxx.sys\\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\ati1osxx.sys\\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\ati3quxx.sys\\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\ati3ydxx.sys\\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\ati6imxx.sys\\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\ati7koxx.sys\\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\ati8quxx.sys\\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\Uae04.sys\\ deleted successfully. Registry key HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{357c31d1-8160-11dd-873c-00195b38c377}\\ deleted successfully. Registry key HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{37690133-03de-11dc-b297-c185e73d262c}\\ deleted successfully. Registry key HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{64bf1fa1-cab6-11dd-87d0-00195b38c377}\\ deleted successfully. Registry key HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{eed3972c-de53-11dd-87e6-00195b38c377}\\ deleted successfully. ========== COMMANDS ========== User's Temp folder emptied. User's Temporary Internet Files folder emptied. User's Internet Explorer cache folder emptied. Local Service Temp folder emptied. File delete failed. E:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot. Local Service Temporary Internet Files folder emptied. Windows Temp folder emptied. Temp folders emptied. Explorer started successfully OTMoveIt3 by OldTimer - Version 1.0.8.0 log created on 02142009_000703 Files moved on Reboot... E:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat moved successfully. Ссылка на комментарий Поделиться на другие сайты Поделиться
akoK Опубликовано 14 февраля, 2009 Жалоба Поделиться Опубликовано 14 февраля, 2009 Выделите и скопируйте текст ниже (Ctrl+C) :Processesexplorer.exe:Services:Files:Reg[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ati0ptxx.sys]:Commands[purity][emptytemp][start explorer][Reboot] В OTMoveIt3 под панелью "Paste Instructions for Items to be Moved" (под желтой панелью) вставьте скопированный текст и нажмите кнопку "MoveIt!". Выделите (Ctrl+A) и скопируйте (Ctrl+C) текст из окна под панелью "Results" (правая зеленая панель) в следующее сообщение. Прим: Если файлы и папки не могут быть перемещены немедленно и появиться запись <deleted on reboot>, потребуется перезагрузка. После перезагрузки откройте папку "C:\_OTMoveIt\MovedFiles", найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение. Вот теперь все ;) Как самочуствие? Ссылка на комментарий Поделиться на другие сайты Поделиться
dytyna Опубликовано 14 февраля, 2009 Автор Жалоба Поделиться Опубликовано 14 февраля, 2009 Самочувствие такое, как-будто набралась вшей и мучаю Вас ими... Вот результат: ========== PROCESSES ========== Process explorer.exe killed successfully. ========== SERVICES/DRIVERS ========== ========== FILES ========== ========== REGISTRY ========== Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ati0ptxx.sys\\ deleted successfully. ========== COMMANDS ========== User's Temp folder emptied. User's Temporary Internet Files folder emptied. User's Internet Explorer cache folder emptied. Local Service Temp folder emptied. File delete failed. E:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot. Local Service Temporary Internet Files folder emptied. Windows Temp folder emptied. Temp folders emptied. Explorer started successfully OTMoveIt3 by OldTimer - Version 1.0.8.0 log created on 02142009_143719 Files moved on Reboot... File move failed. E:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be moved on reboot. Ссылка на комментарий Поделиться на другие сайты Поделиться
Рекомендуемые сообщения
Для публикации сообщений создайте учётную запись или авторизуйтесь
Вы должны быть пользователем, чтобы оставить комментарий
Создать учетную запись
Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!
Регистрация нового пользователяВойти
Уже есть аккаунт? Войти в систему.
Войти