Здравствуйте. Неделю назад в примерно 16:25 компьютер стал подвисать. Блокирует
также выход в Интернет, а при загрузке писем почтовой программой Outlook Express
отключает загрузку.
На компьютере Windows XP SP3, NOD 5, сделал лечение DoCureIt, но на другой день
опять в 16:25 всё повторилось. Сделал ещё раз проверку DoCureIt на ночь, на следующий
день в 16:25 опять повторяется.
DoCureIt выдало список вирусов: Trojan.StartPage.34650 не может быть исцелён,
Win32.HLLV.MyScan.1,
Trojan.MulDrop1.64025.
----------------------------------
Теперь, после загрузки 2 сообщения появляются:
1)Ошибка при загрузке C:\Temp\7f814e6f3015.dll
2)Windows Script Host
Сценарий: C:\Windows\Windows.vbs
Строка:2
Символ:1
Ошибка:Требуется объект 'sGet'
код:800А01А8
Источник: Ошибка выполнения Microsoft VBScript.
----------------------------------
Список режимов для входа в Безопасный режим, выдаётся закорючками.
Как избавится от этих вирусов ?

Посмотрю...

- Отключите антивирус/фаервол и интернет;
- Выполните в АВЗ: (http://forum.oszone.net/post-1430637-4.html)
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\system32\explorer.exe');
DelCLSID('{45B03AAF-CCEE-43EB-9C91-606D699D19C1}');
QuarantineFile('C:\WINDOWS\WINDOWS.vbs','');
QuarantineFile('C:\windows\system32\mui\0019\HHCTRLui.dll','');
QuarantineFile('C:\windows\system32\HHCTRL.OCX','');
QuarantineFile('c:\windows\system32\winlogon.exe','');
QuarantineFile('c:\windows\system32\explorer.exe','');
QuarantineFile('c:\windows\explorer.exe','');
QuarantineFile('c:\windows\system32\ctfmon.exe','');
QuarantineFile('C:\windows\system32\zwuussq.exe','');
QuarantineFile('C:\windows\system32\GIIKKNN.exe','');
QuarantineFile('C:\windows\system32\jllooqq.exe','');
QuarantineFile('C:\windows\system32\oqssuux.exe','');
QuarantineFile('C:\windows\system32\bbZZWWU.exe','');
QuarantineFile('C:\windows\system32\pmkifdb.exe','');
QuarantineFile('C:\windows\system32\uuxxzzBB.exe','');
DeleteFile('C:\windows\system32\uuxxzzBB.exe');
DeleteFile('C:\windows\system32\pmkifdb.exe');
DeleteFile('C:\windows\system32\bbZZWWU.exe');
DeleteFile('C:\windows\system32\GIIKKNN.exe');
DeleteFile('C:\windows\system32\jllooqq.exe');
DeleteFile('C:\windows\system32\oqssuux.exe');
DeleteFile('C:\windows\system32\zwuussq.exe');
DeleteFile('c:\windows\system32\explorer.exe');
DeleteFile('C:\WINDOWS\WINDOWS.vbs');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','update');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','update');
RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','update');
RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','update');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится

После перезагрузки:
- Выполните в АВЗ:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Файл quarantine.zip из папки AVZ загрузите через данную форму (http://www.oszone.net/virusnet). Укажите ссылку на тему и ник на форуме.

- Повторите логи АВЗ и РСИТ.

Хорошо, сейчас буду делать.

Файл quarantine.zip из папки AVZ загрузите через данную форму »
Файл загрузил.
После выполнения скриптов только сообщение:
Ошибка при загрузке C:\Temp\7f814e6f3015.dll
появляется после загрузки операционной системы.
---------------------------
И ещё, сразу как-то я пропустил, при запуске программ
появляется сообщение Error:
Error in programm
(Dump created)
Пробовал сейчас загрузить DoCureIt, чтобы ночью
проверку сделать, повисло.

- Скачайте ComboFix здесь (http://subs.geekstogo.com/ComboFix.exe), здесь (http://download.bleepingcomputer.com/sUBs/ComboFix.exe) или здесь (http://www.forospyware.com/sUBs/ComboFix.exe) и сохраните на рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет, пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, файл C:\ComboFix.txt прикрепите к сообщению.
Примечание: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo@fix.exe

Combofix при запуске написал, что нет на машине 'Microsoft Windows recovery console',
без которой невозможно фиксировать некоторые серьёзные инфекции
и дальше пишет, что для установки Combofix необходимо подключение к интернету.

Включить подключение к Интернету ?

Включить подключение к Интернету ? »
Да.
Консоль можете не ставить.

Я не дожидаясь ответа подключил Интернет и запустил Combofix ещё раз.
Он обнаружил инфицированный файл
C:\Windows\System32\midimap.dll
и примерно 20 минут его восстанавливает (restore).
Курсор мигает на пустой строке, которая идёт за этой с названием файла.

Ждите.

Уже скоро полтора часа как Combofix стоит на этой строке
C:\Windows\System32\midimap.dll
так и должно быть ?

Может он повис, или Интернет отключился, который ему нужен ?
Можно ли как-то убедится, что он работает ? Или подскажите
сколько примерно времени он выполняется ?

Перезагрузите комп и попробуйте снова.

Перезагрузите комп и попробуйте снова.»

Понял.

Извините, что отнимаю время, но мне кажется Combofix опять застрял.
Опять на экране уже полчаса строки
System file is infected !!Attempting to restore
C:\Windows\System32\midimap.dll

Я как мне и советовали, позакрывал браузеры и др. программы.
За время работы Combofix ничего не нажимал.
Ещё на экране Список быстрой вставки, пустой. Значков нет, полосы с кнопкой Пуск нет.
Только форма Combofix.

файл C:\Windows\System32\midimap.dll замените на файл с аналогичной системы или с дистрибутива.

Потом снова запустите combofix

файл C:\Windows\System32\midimap.dll замените на файл с аналогичной системы или с дистрибутива.
Потом снова запустите combofix »
Ясно.

файл C:\Windows\System32\midimap.dll замените на файл с аналогичной системы или с дистрибутива.
Потом снова запустите combofix »

Помогло. Combofix быстро выполнился.

И ещё, сейчас после загрузки ОС перестало появляться сообщение
Ошибка при загрузке C:\Temp\7f814e6f3015.dll
---------------------------
А так же при запуске программ
не появляется сообщение Error:
Error in programm
(Dump created)
--------------------------------------------------------------
Но Список режимов загрузки ОС когда нужно запустить Безопасный
режим выдаётся закорючками. Может на ночь запустить DoCureIt ?

Если удалили Combofix - скачайте заново.


Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на диск С.
KillAll::

File::
c:\tcpz-x86.sys

Driver::
Tcpz-x86

Folder::
c:\windows\system32\i1613
c:\windows\system32\i7285
c:\windows\system32\i5596
c:\windows\system32\i5526
c:\windows\system32\i2908
c:\windows\system32\i1723
c:\windows\system32\i5527
c:\windows\system32\i9144
c:\windows\system32\i6909

Registry::

FileLook::

DirLook::
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
http://safezone.cc/images/cfscript.gif
Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.

Установите все последние обновления для Pervasive.SQL NT Server

Последнее сообщение не дождался. Извините.
Пролечил компьютер AVZ и DoCureIt. Были трояны Trojan.StartPage:34650.
Здесь выкладываю логи если они нужны.
Посмотрите пожалуйста.

Странно, выкладывал логи, а их здесь не вижу. Может новую тему создать ?

Добавляю логи.