Jump to content
СофтФорум - всё о компьютерах и не только

Опять гадость прицепилась...


Recommended Posts

Мои тысяча извинений - вроде как недавно лечила этот комп... Но опять что-то неладное. Интернет уже не работает.

Логи в прицепе.

Link to comment
Share on other sites

И что, есть что в логах?

Видимо, сбой какой-то на форуме, в столбце "просмотров" выше моего уведомления стоят нули. Как может быть: логи 8 раз загружены, а просмотров 0?

Link to comment
Share on other sites

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

beginSearchRootkit(true, true);SetAVZGuardStatus(true);QuarantineFile('E:\WINDOWS\System32\drivers\dwshd.sys','');QuarantineFile('E:\DOCUME~1\Olia\LOCALS~1\Temp\svchost.exe','');QuarantineFile('E:\Program Files\Internet Explorer\mui\0422\browselc.dll','');QuarantineFile('E:\Program Files\Internet Explorer\mui\0422\shdoclc.dll','');DeleteFile('E:\WINDOWS\system32\h99rcdaf.exe');DeleteFile('E:\DOCUME~1\Olia\LOCALS~1\Temp\svchost.exe');DeleteFile('E:\WINDOWS\System32\drivers\dwshd.sys');DeleteService('dwshd');BC_ImportALL;BC_Activate;ExecuteSysClean;RebootWindows(true);end.

После выполнения скрипта компьютер перезагрузится.

beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end.

Полученный архив отправьте на akok<at>pisem.net с указанной ссылкой на тему. (at=@)

Проверьте на http://www.virustotal.com (результаты сообщите)

F:\INS\antyvirusy\Olia.exe

Скачайте Malwarebytes' Anti-Malware, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - нажмите "Remove Selected" (удалить выделенные). Откройте лог и скопируйте в сообщение.

Включите AVZPM и повторите логи.

Link to comment
Share on other sites

Карантин отправила.

Malwarebytes' Anti-Malware обновить на нужном компьютере не удалось, т.к. нет интернета, тестирую старыми базами.

Откуда взялся файл Olia.exe. В результате выполнения сбора информации с помощью RSIT должно было быть создано 2 текстовых лога. Как видите, в первом сообщении у меня только один, так как вместо другого лога в папке появилась точная копия HijackThis, только под названием Olia.exe (юзер, насколько я понимаю). Меня это удивило; удалила файл и проделала операцию повторно; еффект повторился. Сканирование с помощью http://www.virustotal.com подтвердило, что это файл HijackThis: File HiJackThis.exe received on 03.21.2009 21:04:40 (CET) Current status: finished

Такая вот история. Логи готовлю.

Link to comment
Share on other sites

Если RSIT не находит установленой HJT, то предпринмает попытку его загрузить самому с рендромным именем. ;)

В карантин ничего вредоносного не попало.

Link to comment
Share on other sites

Если RSIT не находит установленой HJT, то предпринмает попытку его загрузить самому с рендромным именем. ;)

Да, но он же его нашел!

Вот новые логи.

Malwarebytes' Anti-Malware ничего не нашел.

Ужас, аж дважды прицепились. Извините! Потом уберу :)

Link to comment
Share on other sites

Скачайте OTMoveIt3 by OldTimer или с зеркала и сохраните на рабочий стол.

Запустите OTMoveIt3 (в ОС Windows Vista необходимо запускать через правую кн. мыши от имени администратора)

временно выключите антивирус, firewall и другое защитное программное обеспечение. Выделите и скопируйте текст ниже (Ctrl+C)

:Processesexplorer.exe:Services:Files:Reg[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\h99rcdaf][HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Microsoft Windows DLL Loader]""[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{357c31d1-8160-11dd-873c-00195b38c377}][-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ffb673d0-0bdc-11de-9e44-00195b38c377}]:Commands[purity][emptytemp][start explorer][Reboot]

В OTMoveIt3 под панелью "Paste Instructions for Items to be Moved" (под желтой панелью) вставьте скопированный текст и нажмите кнопку "MoveIt!". Выделите (Ctrl+A) и скопируйте (Ctrl+C) текст из окна под панелью "Results" (правая зеленая панель) в следующее сообщение.

Прим: Если файлы и папки не могут быть перемещены немедленно и появиться запись <deleted on reboot>, потребуется перезагрузка. После перезагрузки откройте папку "C:\_OTMoveIt\MovedFiles", найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение.

Link to comment
Share on other sites

Результат таков.

OTMoveit выполняет задание молниеносно и зависает. В зеленой панеле написано, что Process explorer.exe killed successfully, а что написано про регистрационный код, не видно в окне. После зависания программы возможна лишь механическая перезагрузка с помощью кнопки. Папка в каталоге программы с отчетом создается, но она пуста.

Проделала эту процедуру трижды, результат одинаковый.

Такие вот пироги.

Link to comment
Share on other sites

Вот этот процесс нужно убить: E:\WINDOWS\Explorer.EXE? Если да, то он еще есть.

Интересно: почитала соседнюю тему, где говорится про отсутствие звука и принтера. На этом компе звука нет уже с полгода, после какого-то лечения исчез; я здесь об этом писала, но безрезультатно.

Link to comment
Share on other sites

E:\WINDOWS\Explorer.EXE - это легитимный процесс, он будет остановлен на время.

P>S> Включите, то что отключили через msconfig и повторите логи.

Edited by akoK
Link to comment
Share on other sites

E:\WINDOWS\Explorer.EXE - это легитимный процесс, он будет остановлен на время.

P>S> Включите, то что отключили через msconfig и повторите логи.

Ясно. Но я вот даже не припомню, как давно что-то отключала. Буду искать сейчас.

Link to comment
Share on other sites

Была когда-то здесь такая штука - AnVir Task Manager. С ее помощью что-то отключалось. Вот ее лог в приецпе.

В msconfig вижу процесс svchost і темпах юзера, Он тут уже преследовался. Включать? Или включить там все, что отключено?

Link to comment
Share on other sites

Пофиксить в HijackThis следующие строчки

 O4 - HKLM\..\Run: [Microsoft Windows DLL Loader] E:\DOCUME~1\Olia\LOCALS~1\Temp\svchost.exe

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

beginSearchRootkit(true, true);SetAVZGuardStatus(true);DeleteFile('E:\DOCUME~1\Olia\LOCALS~1\Temp\svchost.exe');SysCleanAddFile('E:\DOCUME~1\Olia\LOCALS~1\Temp\svchost.exe');BC_ImportDeletedList;BC_Activate;ExecuteSysClean;RebootWindows(true);end.

После выполнения скрипта компьютер перезагрузится.

Вот так лучше

Link to comment
Share on other sites

Проделала.

Если это все, напомните, как возобновить интернет. Программа вроде как у меня есть, но после инсталяции не нашла ничего, что можно было бы запустить.

Link to comment
Share on other sites

Можно так

Если не помогает, то так:

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

beginExecuteRepair(14);RebootWindows(true);end.

После выполнения скрипта компьютер перезагрузится.

Если и это не помогло, то так:

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

beginExecuteRepair(15);RebootWindows(true);end.

После выполнения скрипта компьютер перезагрузится.

Link to comment
Share on other sites

Прекрасно! Второй сработал.

Премного благодарна!

Наверное, завтра нужно будет проверить другую машину, с которой все это время заходили в интернет. Чтоб там чего не завелось.

Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

 Share

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...