Витер Опубликовано 6 октября, 2009 Жалоба Поделиться Опубликовано 6 октября, 2009 Добрый день. Если вас не затруднит, не моглили вы мне помочь, заранее благодарю после загрузки настроек пользователя появляется окно "Виндоус секьютери алерт"(написал на русском, т.к. на англ. не переключается) (в окне: "на вашем компе обнаружена не лицензионная версия Виндоус!... можете приобрести лицензионный ключ, отправив СМС с вашего моб. телефона..") о и блокируется раб. стол, блокирован диспетчер задач, могу юзать только запущ. приложения я на опережение загрузил оперу, с неё и производил все действия мой лог Logfile of HijackThis v1.99.1 Scan saved at 22:43:39, on 06.10.2009 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.20815) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\Common Files\Autodesk Shared\Service\AdskScSrv.exe C:\Program Files\Bonjour\mDNSResponder.exe C:\WINDOWS\system32\CTSvcCDA.EXE C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe C:\Program Files\borland\interbase\bin\ibguard.exe C:\Program Files\Autodesk\3dsMax8\mentalray\satellite\raysat_3dsmax8server.exe D:\Program Files\CDBurnerXP\NMSAccessU.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\oodag.exe C:\WINDOWS\system32\HPZipm12.exe C:\Program Files\Cyberlink\Shared files\RichVideo.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\MsPMSPSv.exe C:\Program Files\borland\interbase\bin\ibserver.exe C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe D:\Program Files\Opera\opera.exe D:\Program Files\CyberLink\PowerDVD\PDVDServ.exe C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\WINDOWS\ctfmon.exe C:\WINDOWS\system32\ctfmon.exe C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe C:\WINDOWS\system32\REG.exe C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe C:\Program Files\Common Files\Ahead\Lib\NMIndexStoreSvr.exe C:\DOCUME~1\5E86~1\LOCALS~1\Temp\Rar$EX00.281\avz4\avz.exe D:\Program Files\Opera\profile\cache4\temporary_download\DRWEB-444-WIN-AS-RU.EXE C:\Program Files\WinRAR\WinRAR.exe C:\DOCUME~1\5E86~1\LOCALS~1\Temp\Rar$EX12.609\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.crawler.com/search/dispatcher.a...&tbid=66019 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://vkontakte.ru/id9338454 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://www.crawler.com/search/ie.aspx?tb_id=66019 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,CustomizeSearch = http://dnl.crawler.com/support/sa_customize.aspx?TbId=66019 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.crawler.com/search/ie.aspx?tb_id=66019 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://dnl.crawler.com/support/sa_customize.aspx?TbId=66019 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки R3 - URLSearchHook: (no name) - {1CB20BF0-BBAE-40A7-93F4-6435FF3D0411} - C:\PROGRA~1\Crawler\ctbr.dll R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe O1 - Hosts: 81.177.14.141 patch.fstyle.ru O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {1CB20BF0-BBAE-40A7-93F4-6435FF3D0411} - C:\PROGRA~1\Crawler\ctbr.dll O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - C:\PROGRA~1\Mail.Ru\Sputnik\MAILRU~1.DLL O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4D91-8333-CF10577473F7} - C:\Program Files\Google\googletoolbar1.dll O3 - Toolbar: Спутник@Mail.Ru - {09900DE8-1DCA-443F-9243-26FF581438AF} - C:\PROGRA~1\Mail.Ru\Sputnik\MAILRU~1.DLL O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll O3 - Toolbar: &Crawler Toolbar - {4B3803EA-5230-4DC3-A7FC-33638F3D3542} - C:\PROGRA~1\Crawler\ctbr.dll O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe" O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe O4 - HKLM\..\Run: [RemoteControl] "D:\Program Files\CyberLink\PowerDVD\PDVDServ.exe" O4 - HKLM\..\Run: [LanguageShortcut] "D:\Program Files\CyberLink\PowerDVD\Language\Language.exe" O4 - HKLM\..\Run: [iSUSPM Startup] "C:\Program Files\Common Files\InstallShield\UpdateService\ISUSPM.exe" -startup O4 - HKLM\..\Run: [iSUSScheduler] "C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe" -start O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [egui] "C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [Google Desktop Search] "C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe" /startup O4 - HKLM\..\Run: [ctfmon.exe] C:\WINDOWS\ctfmon.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [bgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe" O4 - HKCU\..\Run: [MSConfig] C:\Documents and Settings\Кирилл\inpud.exe \u O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000 O8 - Extra context menu item: Crawler Search - tbr:iemenu O8 - Extra context menu item: English<->Russian - D:\Program Files\LingvoSoft\LingvoSoft Dictionary 2007 (English-Russian) for Windows\Plugins\IE.htm O8 - Extra context menu item: French<->Russian - D:\Program Files\LingvoSoft\LingvoSoft Dictionary 2007 (French-Russian) for Windows\Plugins\IE.htm O8 - Extra context menu item: German<->Russian - D:\Program Files\LingvoSoft\LingvoSoft Dictionary 2007 (German-Russian) for Windows\Plugins\IE.htm O8 - Extra context menu item: Поиск@Mail.Ru - res://C:\PROGRA~1\Mail.Ru\Sputnik\MAILRU~1.DLL/SEARCH.HTM O8 - Extra context menu item: Словари@Mail.Ru - res://C:\PROGRA~1\Mail.Ru\Sputnik\MAILRU~1.DLL/TRANSLATE.HTM O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll O9 - Extra button: English<->Russian - {175D7E37-7D90-4D43-B1AC-45A0A25D22C1} - D:\Program Files\LingvoSoft\LingvoSoft Dictionary 2007 (English-Russian) for Windows\Plugins\IE.htm O9 - Extra 'Tools' menuitem: English<->Russian - {175D7E37-7D90-4D43-B1AC-45A0A25D22C1} - D:\Program Files\LingvoSoft\LingvoSoft Dictionary 2007 (English-Russian) for Windows\Plugins\IE.htm O9 - Extra button: Отправить в OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll O9 - Extra 'Tools' menuitem: &Отправить в OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll O9 - Extra button: French<->Russian - {3FBD4C2F-1A8E-AE40-9957-49FB10BE076B} - D:\Program Files\LingvoSoft\LingvoSoft Dictionary 2007 (French-Russian) for Windows\Plugins\IE.htm O9 - Extra 'Tools' menuitem: French<->Russian - {3FBD4C2F-1A8E-AE40-9957-49FB10BE076B} - D:\Program Files\LingvoSoft\LingvoSoft Dictionary 2007 (French-Russian) for Windows\Plugins\IE.htm O9 - Extra button: Mail.Ru Агент - {7558B7E5-7B26-4201-BEDB-00D5FF534523} - C:\Program Files\Mail.Ru\Agent\magent.exe O9 - Extra 'Tools' menuitem: Mail.Ru Агент - {7558B7E5-7B26-4201-BEDB-00D5FF534523} - C:\Program Files\Mail.Ru\Agent\magent.exe O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL O9 - Extra button: German<->Russian - {C49E8BFE-34FC-894A-9C7E-9C623B867A1D} - D:\Program Files\LingvoSoft\LingvoSoft Dictionary 2007 (German-Russian) for Windows\Plugins\IE.htm O9 - Extra 'Tools' menuitem: German<->Russian - {C49E8BFE-34FC-894A-9C7E-9C623B867A1D} - D:\Program Files\LingvoSoft\LingvoSoft Dictionary 2007 (German-Russian) for Windows\Plugins\IE.htm O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Program Files\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Program Files\ICQ6\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O11 - Options group: [iNTERNATIONAL] International* O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Program Files\Common Files\Microsoft Shared\Help\hxds.dll O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL O18 - Protocol: tbr - {4D25FB7A-8902-4291-960E-9ADA051CFBBF} - C:\PROGRA~1\Crawler\ctbr.dll O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\COMMON~1\MICROS~1\OFFICE12\MSOXMLMF.DLL O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~1\GOEC62~1.DLL O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll O23 - Service: Autodesk Licensing Service - Autodesk - C:\Program Files\Common Files\Autodesk Shared\Service\AdskScSrv.exe O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTSvcCDA.EXE O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\EHttpSrv.exe O23 - Service: Eset Service (ekrn) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe O23 - Service: Диспетчер Google Desktop 5.8.809.23506 (GoogleDesktopManager-092308-165331) - Google - C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS\system32\imapi.exe O23 - Service: InterBase Guardian (InterBaseGuardian) - Inprise Corporation - C:\Program Files\borland\interbase\bin\ibguard.exe O23 - Service: InterBase Server (InterBaseServer) - Inprise Corporation - C:\Program Files\borland\interbase\bin\ibserver.exe O23 - Service: RaySat_3dsmax8 Server (mi-raysat_3dsmax8) - Unknown owner - C:\Program Files\Autodesk\3dsMax8\mentalray\satellite\raysat_3dsmax8server.exe O23 - Service: NBService - Nero AG - D:\Program Files\Nero 7\Nero 7\Nero BackItUp\NBService.exe O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe O23 - Service: NMSAccessU - Unknown owner - D:\Program Files\CDBurnerXP\NMSAccessU.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\Cyberlink\Shared files\RichVideo.exe O23 - Service: SiSoftware Database Agent Service (SandraDataSrv) - SiSoftware - D:\Program Files\SiSoftware\SiSoftware Sandra Engineer XI.SP1a\Win32\RpcDataSrv.exe O23 - Service: SiSoftware Sandra Agent Service (SandraTheSrv) - SiSoftware - D:\Program Files\SiSoftware\SiSoftware Sandra Engineer XI.SP1a\RpcSandraSrv.exe O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS\system32\wbem\wmiapsrv.exe Ссылка на комментарий Поделиться на другие сайты Поделиться
edde Опубликовано 6 октября, 2009 Жалоба Поделиться Опубликовано 6 октября, 2009 Скачайте пока http://www.freedrweb.com/download+cureit/ просканируйте систему, скачайте AVZ и сделайте логи по правилам раздела , а коту строго настрого запретите подходить к компьютеру. Ссылка на комментарий Поделиться на другие сайты Поделиться
Витер Опубликовано 8 октября, 2009 Автор Жалоба Поделиться Опубликовано 8 октября, 2009 Скачайте пока http://www.freedrweb.com/download+cureit/ просканируйте систему, скачайте AVZ и сделайте логи по правилам раздела , а коту строго настрого запретите подходить к компьютеру. сделал все... не без труда правда; не выполнил подготовку к диагностике, но я не могу выполн. пункты 2 и 3 (2 т.к. пуск остутствует, как и раб стол, как и вся строка с быстр. запуском, временем и т.д.; 3 т.к. в безоп. режим винда не грузится, после повт. загрузки, где появл. меню выбора режима запуска винды написано, что были проблемы с питанием). info.txt log.txt virusinfo_syscheck.zip virusinfo_syscure.zip info.txt log.txt virusinfo_syscheck.zip virusinfo_syscure.zip Ссылка на комментарий Поделиться на другие сайты Поделиться
миднайт Опубликовано 8 октября, 2009 Жалоба Поделиться Опубликовано 8 октября, 2009 Закройте/выгрузите все программы кроме AVZ и Internet Explorer. - Отключите ПК от интернета/локалки - Отключите Антивирус и Файрвол. В AVZ выполните скрипт: beginSearchRootkit(true, true);SetAVZGuardStatus(True);TerminateProcessByName('c:\windows\ctfmon.exe');DeleteService('zgcddawd');DeleteService('zebmgrwf');DeleteService('zbbaaahl');DeleteService('ynappfyn');DeleteService('xdxwlrir');DeleteService('wzryxfrw');DeleteService('vnusnrrv');DeleteService('ukkkzmiy');DeleteService('sfwhjhhb');DeleteService('rtzvbmen');DeleteService('qyfofcbp');DeleteService('pjiihtvo');DeleteService('nvoozvud');DeleteService('mxzsznfl');DeleteService('mwizqbyk');DeleteService('mefrjbwr');DeleteService('jzxauwqi');DeleteService('icqlkhkf');DeleteService('hbmjkeww');DeleteService('ftftcesl');DeleteService('ctmprhao');QuarantineFile('C:\WINDOWS\ctfmon.exe','');QuarantineFile('C:\Documents and Settings\Кирилл\inpud.exe','');QuarantineFile('C:\WINDOWS\System32\Drivers\zgcddawd.sys','');QuarantineFile('C:\WINDOWS\System32\Drivers\zebmgrwf.sys','');QuarantineFile('C:\WINDOWS\System32\Drivers\zbbaaahl.sys','');QuarantineFile('C:\WINDOWS\System32\Drivers\ynappfyn.sys','');QuarantineFile('C:\WINDOWS\System32\Drivers\xdxwlrir.sys','');QuarantineFile('C:\WINDOWS\System32\Drivers\wzryxfrw.sys','');QuarantineFile('C:\WINDOWS\System32\Drivers\vnusnrrv.sys','');QuarantineFile('C:\WINDOWS\System32\Drivers\ukkkzmiy.sys','');QuarantineFile('C:\WINDOWS\System32\Drivers\sfwhjhhb.sys','');QuarantineFile('C:\WINDOWS\System32\Drivers\rtzvbmen.sys','');QuarantineFile('C:\WINDOWS\System32\Drivers\qyfofcbp.sys','');QuarantineFile('C:\WINDOWS\System32\Drivers\pjiihtvo.sys','');QuarantineFile('C:\WINDOWS\System32\Drivers\nvoozvud.sys','');QuarantineFile('C:\WINDOWS\System32\Drivers\mxzsznfl.sys','');QuarantineFile('C:\WINDOWS\System32\Drivers\mwizqbyk.sys','');QuarantineFile('C:\WINDOWS\System32\Drivers\mefrjbwr.sys','');QuarantineFile('C:\WINDOWS\System32\Drivers\jzxauwqi.sys','');QuarantineFile('C:\WINDOWS\System32\Drivers\icqlkhkf.sys','');QuarantineFile('C:\WINDOWS\System32\Drivers\hbmjkeww.sys','');QuarantineFile('C:\WINDOWS\System32\Drivers\ftftcesl.sys','');QuarantineFile('C:\WINDOWS\System32\Drivers\ctmprhao.sys','');DeleteFile('c:\windows\ctfmon.exe');DeleteFile('C:\WINDOWS\System32\Drivers\ctmprhao.sys');DeleteFile('C:\WINDOWS\System32\Drivers\ftftcesl.sys');DeleteFile('C:\WINDOWS\System32\Drivers\hbmjkeww.sys');DeleteFile('C:\WINDOWS\System32\Drivers\icqlkhkf.sys');DeleteFile('C:\WINDOWS\System32\Drivers\jzxauwqi.sys');DeleteFile('C:\WINDOWS\System32\Drivers\mefrjbwr.sys');DeleteFile('C:\WINDOWS\System32\Drivers\mwizqbyk.sys');DeleteFile('C:\WINDOWS\System32\Drivers\mxzsznfl.sys');DeleteFile('C:\WINDOWS\System32\Drivers\nvoozvud.sys');DeleteFile('C:\WINDOWS\System32\Drivers\pjiihtvo.sys');DeleteFile('C:\WINDOWS\System32\Drivers\qyfofcbp.sys');DeleteFile('C:\WINDOWS\System32\Drivers\rtzvbmen.sys');DeleteFile('C:\WINDOWS\System32\Drivers\sfwhjhhb.sys');DeleteFile('C:\WINDOWS\System32\Drivers\ukkkzmiy.sys');DeleteFile('C:\WINDOWS\System32\Drivers\vnusnrrv.sys');DeleteFile('C:\WINDOWS\System32\Drivers\wzryxfrw.sys');DeleteFile('C:\WINDOWS\System32\Drivers\xdxwlrir.sys');DeleteFile('C:\WINDOWS\System32\Drivers\ynappfyn.sys');DeleteFile('C:\WINDOWS\System32\Drivers\zbbaaahl.sys');DeleteFile('C:\WINDOWS\System32\Drivers\zebmgrwf.sys');DeleteFile('C:\WINDOWS\System32\Drivers\zgcddawd.sys');DeleteFile('C:\Documents and Settings\Кирилл\inpud.exe');RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','MSConfig');BC_ImportAll;ExecuteSysClean;BC_DeleteSvc('zgcddawd');BC_DeleteSvc('zebmgrwf');BC_DeleteSvc('zbbaaahl');BC_DeleteSvc('ynappfyn');BC_DeleteSvc('xdxwlrir');BC_DeleteSvc('wzryxfrw');BC_DeleteSvc('vnusnrrv');BC_DeleteSvc('ukkkzmiy');BC_DeleteSvc('sfwhjhhb');BC_DeleteSvc('rtzvbmen');BC_DeleteSvc('qyfofcbp');BC_DeleteSvc('pjiihtvo');BC_DeleteSvc('nvoozvud');BC_DeleteSvc('mxzsznfl');BC_DeleteSvc('mwizqbyk');BC_DeleteSvc('mefrjbwr');BC_DeleteSvc('jzxauwqi');BC_DeleteSvc('icqlkhkf');BC_DeleteSvc('hbmjkeww');BC_DeleteSvc('ftftcesl');BC_DeleteSvc('ctmprhao');BC_Activate;ExecuteRepair(5);ExecuteRepair(8);ExecuteRepair(10);ExecuteRepair(16);RebootWindows(true);end. После перезагрузки begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. Файл quarantine.zip из папки с AVZ пришлите на mind_storm()mail.ru Безопасный режим заработал после скрипта? Сделайте проверку CureIT. Логи повторите. Ссылка на комментарий Поделиться на другие сайты Поделиться
Витер Опубликовано 9 октября, 2009 Автор Жалоба Поделиться Опубликовано 9 октября, 2009 Файл quarantine.zip из папки с AVZ пришлите на mind_storm()mail.ru Безопасный режим заработал после скрипта? Сделайте проверку CureIT. Логи повторите. заработал., проверил - 4 трояна). установил фаерфол; думаю сменить нод на докт. веб Ссылка на комментарий Поделиться на другие сайты Поделиться
миднайт Опубликовано 9 октября, 2009 Жалоба Поделиться Опубликовано 9 октября, 2009 Итого: C:\WINDOWS\ctfmon.exe - Trojan.Winlock.302 C:\Documents and Settings\Кирилл\inpud.exe - Trojan.Siggen.4997 C:\WINDOWS\System32\Drivers\zgcddawd.sys (и прочие однотипные) - Trojan.NtRootKit.2682 Повторите логи для контроля. Ссылка на комментарий Поделиться на другие сайты Поделиться
Витер Опубликовано 11 октября, 2009 Автор Жалоба Поделиться Опубликовано 11 октября, 2009 Итого: C:\WINDOWS\ctfmon.exe - Trojan.Winlock.302 C:\Documents and Settings\Кирилл\inpud.exe - Trojan.Siggen.4997 C:\WINDOWS\System32\Drivers\zgcddawd.sys (и прочие однотипные) - Trojan.NtRootKit.2682 Повторите логи для контроля. м.. он сегодня вернулся. и пропал... языки я мог и могу переключать (как я понял, вирус.. или троян.. что это.. маскировался под переключ. языков виндоусовский) теперь нет панели быстрого запуска..т.е. раб стол был заблокирован, потом я сделал пункт №1,2 правил раздела (Диагностика), все столо нормальным, а панель быстрого запуска не вернулась. скажите что делать, чтобы он не появился снова.. и ещё я флеш-носитель подключал.. может с его он и вернулся, но перед тем, как исп. я сканировал их AVZ и нодом, ничего не выдали virusinfo_syscheck.zip virusinfo_syscure.zip info.txt log.txt virusinfo_syscheck.zip virusinfo_syscure.zip info.txt log.txt Ссылка на комментарий Поделиться на другие сайты Поделиться
Yezhishe Опубликовано 11 октября, 2009 Жалоба Поделиться Опубликовано 11 октября, 2009 Панель быстрого запуска - правый клик на панели задач>Свойства> поставить птичку "Отображать панель быстрого запуска"... Ссылка на комментарий Поделиться на другие сайты Поделиться
Витер Опубликовано 11 октября, 2009 Автор Жалоба Поделиться Опубликовано 11 октября, 2009 Панель быстрого запуска - правый клик на панели задач>Свойства> поставить птичку "Отображать панель быстрого запуска"... омг. мда.. спс а чего слетела настройка? Ссылка на комментарий Поделиться на другие сайты Поделиться
Yezhishe Опубликовано 11 октября, 2009 Жалоба Поделиться Опубликовано 11 октября, 2009 (изменено) Возможно, в процессе лечения вид Рабочего стола был приведён к "дефолтному" виду... Впрочем, так ли это важно? :) Изменено 11 октября, 2009 пользователем Yezhishe Ссылка на комментарий Поделиться на другие сайты Поделиться
Витер Опубликовано 11 октября, 2009 Автор Жалоба Поделиться Опубликовано 11 октября, 2009 интересно просто) Ссылка на комментарий Поделиться на другие сайты Поделиться
Matias Опубликовано 11 октября, 2009 Жалоба Поделиться Опубликовано 11 октября, 2009 Почитайте справку AVZ. Команда ExecuteRepair(5) восстанавливает настройки рабочего стола. Ссылка на комментарий Поделиться на другие сайты Поделиться
edde Опубликовано 11 октября, 2009 Жалоба Поделиться Опубликовано 11 октября, 2009 Витер В правилах раздела указано отключить защитное по и не запускать других программ во время работы авз . Повторите ка логи. Ссылка на комментарий Поделиться на другие сайты Поделиться
миднайт Опубликовано 12 октября, 2009 Жалоба Поделиться Опубликовано 12 октября, 2009 + к совету edde: Базы в АВЗ обновить. Логи переделать. Есть заражение. Ссылка на комментарий Поделиться на другие сайты Поделиться
Янитта Опубликовано 13 октября, 2009 Жалоба Поделиться Опубликовано 13 октября, 2009 Здравствуйте! Не поможете удалить вирус RECYCLER. Очень противный :) сидел на диске С:, а теперь переполз на диск Д: и анлокером удаляется только на пару минут. А что еще хуже, заразил мне новый телефон и флешку. Я носила в сервисный центр телефон, просила удалить вирус, а они его неделю помучали и вернули мне с тем же вирусом домой. Не знаете, как от него избавится. Аваст не берет. Заранее благодарна. Ссылка на комментарий Поделиться на другие сайты Поделиться
Matias Опубликовано 13 октября, 2009 Жалоба Поделиться Опубликовано 13 октября, 2009 (изменено) Янитта, откройте новую тему и прикрепите к ней логи, созданные по правилам. Изменено 13 октября, 2009 пользователем Matias Ссылка на комментарий Поделиться на другие сайты Поделиться
Old men Опубликовано 13 октября, 2009 Жалоба Поделиться Опубликовано 13 октября, 2009 Янитта: Я ведь вам уже сказал - прочтите Правила подраздела http://www.softboard.ru/index.php?showtopic=51343 и сделайте логи, как там написано. Потом откройте здесь свою тему Ссылка на комментарий Поделиться на другие сайты Поделиться
Витер Опубликовано 13 октября, 2009 Автор Жалоба Поделиться Опубликовано 13 октября, 2009 обновил базы АВЗ, выполнил скрипты (отключив защиту нода и фаервола, выйдя из фаервола), создал логи.. 163 трояна только вот окошко с "винд. алерт" не пропало.. и стол заблокирован.; но я могу зайти в безоп. режим. что предпринять ещё? virusinfo_syscheck.zip virusinfo_syscure.zip info.txt log.txt virusinfo_syscheck.zip virusinfo_syscure.zip info.txt log.txt Ссылка на комментарий Поделиться на другие сайты Поделиться
akoK Опубликовано 14 октября, 2009 Жалоба Поделиться Опубликовано 14 октября, 2009 Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - нажмите "Remove Selected" (удалить выделенные). Откройте лог и скопируйте в сообщение. Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол. 1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix. 2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению. Как использовать ComboFix - Руководство по применению Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe Ссылка на комментарий Поделиться на другие сайты Поделиться
Витер Опубликовано 14 октября, 2009 Автор Жалоба Поделиться Опубликовано 14 октября, 2009 Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - нажмите "Remove Selected" (удалить выделенные). Откройте лог и скопируйте в сообщение. Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол. 1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix. 2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению. Как использовать ComboFix - Руководство по применению Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe Все сделал. Классный антивирус mbam ... ComboFix.rar mbam_log_2009_10_14__14_42_21_.rar ComboFix.rar mbam_log_2009_10_14__14_42_21_.rar Ссылка на комментарий Поделиться на другие сайты Поделиться
akoK Опубликовано 14 октября, 2009 Жалоба Поделиться Опубликовано 14 октября, 2009 Витер: судя по логу Вы ничего MBAM'ом не удаляли. Удаляйте все кроме секции "Заражено параметров реестра:" C:\multitran3 - знакомо? Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол. KillAll::File::c:\windows\System32\Drivers\ahtlfupp.sysc:\windows\System32\Drivers\csrfvugy.sysc:\windows\System32\Drivers\afpfqfns.sys c:\windows\system32\drivers\notvhouz.sysc:\windows\System32\Drivers\ewgtfwzd.sysc:\windows\System32\Drivers\nnurykvt.sysc:\windows\system32\drivers\notvhouz.sysc:\windows\System32\Drivers\qmhomlge.sysDriver::notvhouzqmhomlgennurykvtewgtfwzdcsrfvugyafpfqfnsahtlfuppFolder::Registry::FileLook::DirLook:: После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe. Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению. Проверьте на www.virustotal.com (результат сообщите c:\windows\explorer.exec:\windows\regedit.exec:\windows\system32\cmd.exec:\windows\system32\taskmgr.exe Ссылка на комментарий Поделиться на другие сайты Поделиться
Рекомендуемые сообщения
Для публикации сообщений создайте учётную запись или авторизуйтесь
Вы должны быть пользователем, чтобы оставить комментарий
Создать учетную запись
Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!
Регистрация нового пользователяВойти
Уже есть аккаунт? Войти в систему.
Войти