Опять гадость прицепилась...

[dytyna]

Мои тысяча извинений - вроде как недавно лечила этот комп... Но опять что-то неладное. Интернет уже не работает.

Логи в прицепе.

[dytyna]

И что, есть что в логах?

Видимо, сбой какой-то на форуме, в столбце "просмотров" выше моего уведомления стоят нули. Как может быть: логи 8 раз загружены, а просмотров 0?

[akoK]

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

beginSearchRootkit(true, true);SetAVZGuardStatus(true);QuarantineFile('E:\WINDOWS\System32\drivers\dwshd.sys','');QuarantineFile('E:\DOCUME~1\Olia\LOCALS~1\Temp\svchost.exe','');QuarantineFile('E:\Program Files\Internet Explorer\mui\0422\browselc.dll','');QuarantineFile('E:\Program Files\Internet Explorer\mui\0422\shdoclc.dll','');DeleteFile('E:\WINDOWS\system32\h99rcdaf.exe');DeleteFile('E:\DOCUME~1\Olia\LOCALS~1\Temp\svchost.exe');DeleteFile('E:\WINDOWS\System32\drivers\dwshd.sys');DeleteService('dwshd');BC_ImportALL;BC_Activate;ExecuteSysClean;RebootWindows(true);end.

После выполнения скрипта компьютер перезагрузится.

beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end.

Полученный архив отправьте на akok<at>pisem.net с указанной ссылкой на тему. (at=@)

Проверьте на http://www.virustotal.com (результаты сообщите)

F:\INS\antyvirusy\Olia.exe

Скачайте Malwarebytes' Anti-Malware, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - нажмите "Remove Selected" (удалить выделенные). Откройте лог и скопируйте в сообщение.

Включите AVZPM и повторите логи.

[dytyna]

Карантин отправила.

Malwarebytes' Anti-Malware обновить на нужном компьютере не удалось, т.к. нет интернета, тестирую старыми базами.

Откуда взялся файл Olia.exe. В результате выполнения сбора информации с помощью RSIT должно было быть создано 2 текстовых лога. Как видите, в первом сообщении у меня только один, так как вместо другого лога в папке появилась точная копия HijackThis, только под названием Olia.exe (юзер, насколько я понимаю). Меня это удивило; удалила файл и проделала операцию повторно; еффект повторился. Сканирование с помощью http://www.virustotal.com подтвердило, что это файл HijackThis: File HiJackThis.exe received on 03.21.2009 21:04:40 (CET) Current status: finished

Такая вот история. Логи готовлю.

[akoK]

Если RSIT не находит установленой HJT, то предпринмает попытку его загрузить самому с рендромным именем. ;)

В карантин ничего вредоносного не попало.

[dytyna]

Если RSIT не находит установленой HJT, то предпринмает попытку его загрузить самому с рендромным именем. ;)

Да, но он же его нашел!

Вот новые логи.

Malwarebytes' Anti-Malware ничего не нашел.

Ужас, аж дважды прицепились. Извините! Потом уберу :)

[akoK]

Скачайте OTMoveIt3 by OldTimer или с зеркала и сохраните на рабочий стол.

Запустите OTMoveIt3 (в ОС Windows Vista необходимо запускать через правую кн. мыши от имени администратора)

временно выключите антивирус, firewall и другое защитное программное обеспечение. Выделите и скопируйте текст ниже (Ctrl+C)

:Processesexplorer.exe:Services:Files:Reg[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\h99rcdaf][HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Microsoft Windows DLL Loader]""[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{357c31d1-8160-11dd-873c-00195b38c377}][-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ffb673d0-0bdc-11de-9e44-00195b38c377}]:Commands[purity][emptytemp][start explorer][Reboot]

В OTMoveIt3 под панелью "Paste Instructions for Items to be Moved" (под желтой панелью) вставьте скопированный текст и нажмите кнопку "MoveIt!". Выделите (Ctrl+A) и скопируйте (Ctrl+C) текст из окна под панелью "Results" (правая зеленая панель) в следующее сообщение.

Прим: Если файлы и папки не могут быть перемещены немедленно и появиться запись <deleted on reboot>, потребуется перезагрузка. После перезагрузки откройте папку "C:\_OTMoveIt\MovedFiles", найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение.

[dytyna]

Результат таков.

OTMoveit выполняет задание молниеносно и зависает. В зеленой панеле написано, что Process explorer.exe killed successfully, а что написано про регистрационный код, не видно в окне. После зависания программы возможна лишь механическая перезагрузка с помощью кнопки. Папка в каталоге программы с отчетом создается, но она пуста.

Проделала эту процедуру трижды, результат одинаковый.

Такие вот пироги.

[dytyna]

Вот этот процесс нужно убить: E:\WINDOWS\Explorer.EXE? Если да, то он еще есть.

Интересно: почитала соседнюю тему, где говорится про отсутствие звука и принтера. На этом компе звука нет уже с полгода, после какого-то лечения исчез; я здесь об этом писала, но безрезультатно.

[akoK]

E:\WINDOWS\Explorer.EXE - это легитимный процесс, он будет остановлен на время.

P>S> Включите, то что отключили через msconfig и повторите логи.

Изменено 23 марта, 2009 пользователем akoK

[dytyna]

E:\WINDOWS\Explorer.EXE - это легитимный процесс, он будет остановлен на время.

P>S> Включите, то что отключили через msconfig и повторите логи.

Ясно. Но я вот даже не припомню, как давно что-то отключала. Буду искать сейчас.

[dytyna]

Была когда-то здесь такая штука - AnVir Task Manager. С ее помощью что-то отключалось. Вот ее лог в приецпе.

В msconfig вижу процесс svchost і темпах юзера, Он тут уже преследовался. Включать? Или включить там все, что отключено?

[akoK]

Включать...это позволит почистить следы.

[dytyna]

Включила все в msconfig. Логи прилагаю. Может, еще что-то включить?

[akoK]

Пофиксить в HijackThis следующие строчки

 O4 - HKLM\..\Run: [Microsoft Windows DLL Loader] E:\DOCUME~1\Olia\LOCALS~1\Temp\svchost.exe

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

beginSearchRootkit(true, true);SetAVZGuardStatus(true);DeleteFile('E:\DOCUME~1\Olia\LOCALS~1\Temp\svchost.exe');SysCleanAddFile('E:\DOCUME~1\Olia\LOCALS~1\Temp\svchost.exe');BC_ImportDeletedList;BC_Activate;ExecuteSysClean;RebootWindows(true);end.

После выполнения скрипта компьютер перезагрузится.

Вот так лучше

[dytyna]

Проделала.

Если это все, напомните, как возобновить интернет. Программа вроде как у меня есть, но после инсталяции не нашла ничего, что можно было бы запустить.

[akoK]

Можно так

Если не помогает, то так:

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

beginExecuteRepair(14);RebootWindows(true);end.

После выполнения скрипта компьютер перезагрузится.

Если и это не помогло, то так:

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

beginExecuteRepair(15);RebootWindows(true);end.

После выполнения скрипта компьютер перезагрузится.

[dytyna]

Прекрасно! Второй сработал.

Премного благодарна!

Наверное, завтра нужно будет проверить другую машину, с которой все это время заходили в интернет. Чтоб там чего не завелось.