Никуда не зайти(безп режим, дисп задач, explorer)

Pili · Отправлено: **17:43, 23-05-2008** | #16

Отключите восстановление системы!
В AVZ - файл - выполнить скрипт – выделить и скопировать текст ниже (методом Ctrl+C/Ctrl+V или с помощью правой кн. мыши копировать/вставить) в окно выполнения скрипта AVZ и нажать кнопку «Запустить». На время выполнения скрипта выключите антивирус и firewall, отключите интернет.

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 StopService('dpti930');
 SetServiceStart('dpti930', 4);
 SetServiceStart('Hmq62', 4);
 SetServiceStart('Yei04', 4);
 SetServiceStart('TosIde', 4);
 SetServiceStart('MS Windows Mouse', 4);
 SetServiceStart('Windows Inet Control Service', 4);
 SetServiceStart('SysmonLogSpooler', 4);
 SetServiceStart('RpcSsSysmonLogSpooler', 4);
QuarantineFile('C:\WINDOWS\system32\MSmouse.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\engqnl.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Hmq62.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\Yei04.sys','');
QuarantineFile('C:\DOCUME~1\admkar\LOCALS~1\Temp\16.tmp','');
QuarantineFile('C:\WINDOWS\system32\3076p.exe','');
QuarantineFile('C:\WINDOWS\system32\actmoviet.exe','');
QuarantineFile('C:\WINDOWS\system32\MSmouse.exe','');
QuarantineFile('C:\WINDOWS\SYSTEM32\WLXakr.dll','');
QuarantineFile('C:\WINDOWS\SYSTEM32\WinNt32.dll','');
QuarantineFile('C:\WINDOWS\SYSTEM32\sysfldr.dll','');
QuarantineFile('C:\WINDOWS\winlogon.exe','');
QuarantineFile('C:\WINDOWS\system32\sfrRsfds.exe','');
QuarantineFile('C:\WINDOWS\taskmon.exe','');
QuarantineFile('C:\WINDOWS\system32\wind32.exe','');
QuarantineFile('C:\WINDOWS\system32\prxsmr.dll','');
QuarantineFile('C:\WINDOWS\VFind.exe','');
QuarantineFile('C:\WINDOWS\system32\1031v.exe','');
QuarantineFile('C:\WINDOWS\system32\1025o.dll','');
QuarantineFile('C:\WINDOWS\win32ole.dll','');
QuarantineFile('C:\WINDOWS\system32\ahst596.exe','');
QuarantineFile('C:\WINDOWS\system32\swin32.dll','');
QuarantineFile('C:\WINDOWS\system32\ahst550.exe','');
QuarantineFile('C:\WINDOWS\system32\lnlya.exe','');
QuarantineFile('C:\WINDOWS\system32\WxXK.dll','');
QuarantineFile('C:\WINDOWS\system32\BoKy.dll','');
QuarantineFile('C:\WINDOWS\system32\MxHM.dll','');
QuarantineFile('C:\WINDOWS\system32\Rhxj.exe','');
QuarantineFile('C:\WINDOWS\system32\ahst534.exe','');
QuarantineFile('C:\WINDOWS\system32\ahst563.exe','');
QuarantineFile('C:\WINDOWS\libor.exe','');
QuarantineFile('C:\WINDOWS\system32\ahst593.exe','');
QuarantineFile('C:\WINDOWS\system32\ahst564l.sys','');
QuarantineFile('C:\WINDOWS\system32\WLCtrl32.dll','');
QuarantineFile('C:\WINDOWS\system32\hnwtse32.dll','');
QuarantineFile('C:\WINDOWS\system32\ahst449.exe','');
QuarantineFile('C:\WINDOWS\system32\ahst472.exe','');
QuarantineFile('C:\WINDOWS\system32\w104018.exe','');
QuarantineFile('C:\WINDOWS\system32\ahst595.exe','');
QuarantineFile('C:\WINDOWS\system32\ahst602.exe','');
QuarantineFile('C:\WINDOWS\system32\ahst564.exe','');
DeleteFile('C:\WINDOWS\system32\MSmouse.exe');
DeleteFile('C:\WINDOWS\system32\actmoviet.exe');
DeleteFile('C:\WINDOWS\system32\3076p.exe');
DeleteFile('C:\DOCUME~1\admkar\LOCALS~1\Temp\16.tmp');
DeleteFile('C:\WINDOWS\system32\drivers\engqnl.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Hmq62.sys');
DeleteFile('C:\WINDOWS\system32\drivers\Yei04.sys');
DeleteFile('C:\WINDOWS\system32\MSmouse.sys');
DeleteFile('C:\WINDOWS\system32\prxsmr.dll');
DeleteFile('C:\WINDOWS\system32\wind32.exe');
DeleteFile('C:\WINDOWS\taskmon.exe');
DeleteFile('C:\WINDOWS\system32\sfrRsfds.exe');
DeleteFile('C:\WINDOWS\winlogon.exe');
DeleteFile('C:\WINDOWS\SYSTEM32\sysfldr.dll');
DeleteFile('C:\WINDOWS\SYSTEM32\WinNt32.dll');
DeleteFile('C:\WINDOWS\SYSTEM32\WLXakr.dll');
DeleteFile('C:\WINDOWS\system32\1025o.dll');
DeleteFile('C:\WINDOWS\system32\1031v.exe');
DeleteFile('C:\WINDOWS\system32\swin32.dll');
DeleteFile('C:\WINDOWS\system32\ahst596.exe');
DeleteFile('C:\WINDOWS\win32ole.dll');
DeleteFile('C:\WINDOWS\system32\Rhxj.exe');
DeleteFile('C:\WINDOWS\system32\MxHM.dll');
DeleteFile('C:\WINDOWS\system32\BoKy.dll');
DeleteFile('C:\WINDOWS\system32\WxXK.dll');
DeleteFile('C:\WINDOWS\system32\lnlya.exe');
DeleteFile('C:\WINDOWS\system32\ahst550.exe');
DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll');
DeleteFile('C:\WINDOWS\system32\ahst564l.sys');
DeleteFile('C:\WINDOWS\system32\ahst593.exe');
DeleteFile('C:\WINDOWS\libor.exe');
DeleteFile('C:\WINDOWS\system32\ahst563.exe');
DeleteFile('C:\WINDOWS\system32\ahst534.exe');
DeleteFile('C:\WINDOWS\system32\ahst602.exe');
DeleteFile('C:\WINDOWS\system32\ahst595.exe');
DeleteFile('C:\WINDOWS\system32\w104018.exe');
DeleteFile('C:\WINDOWS\system32\ahst472.exe');
DeleteFile('C:\WINDOWS\system32\ahst449.exe');
DeleteFile('C:\WINDOWS\system32\hnwtse32.dll');
DeleteFile('C:\WINDOWS\system32\ahst564.exe');
 DeleteService('SysmonLogSpooler');
 DeleteService('Windows Inet Control Service');
 DeleteService('RpcSsSysmonLogSpooler');
 DeleteService('MS Windows Mouse');
 DeleteService('TosIde');
 DeleteService('Hmq62');
 DeleteService('Yei04');
 DeleteService('dpti930');
BC_ImportALL;
ExecuteSysClean;
 BC_DeleteSvc('dpti930 ');
 BC_DeleteFile('C:\WINDOWS\system32\drivers\engqnl.sys');
 BC_DeleteFile('C:\WINDOWS\system32\MSmouse.sys');
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится. После перезагрузки выполнить ещё скрипт

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Файл quarantine.zip выслать на user15802[at]mail.ru, в теле письма указать ссылку на тему, или выложить файл на ifolder.ru или другой файлообменник и дать ссылку на него в ПМ (личку).
пофиксите в hijackthis

Код:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://us.rd.yahoo.com/customize/ie/defaults/sb/msgr8/*http://www.yahoo.com/ext/search/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://us.rd.yahoo.com/customize/ie/defaults/sp/msgr8/*http://www.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.yahoo.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://us.rd.yahoo.com/customize/ie/defaults/su/msgr8/*http://www.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://us.rd.yahoo.com/customize/ie/defaults/sb/msgr8/*http://www.yahoo.com/ext/search/search.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://us.rd.yahoo.com/customize/ie/defaults/sp/msgr8/*http://www.yahoo.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://us.rd.yahoo.com/customize/ie/defaults/su/msgr8/*http://www.yahoo.com
O20 - Winlogon Notify: WLXakr - C:\WINDOWS\

Запустите в AVZ Мастер поиска и устранения проблем, выберите все системные проблемы, выставьте степень опасности "Все проблемы", исправьте найденные проблемы. То же самое можно выполнить в категории проблемы "Настройки и твики браузера".

Запустите снова Combofix, если не запустится, скачайте ещё раз и запустите, прикрепите C:\ComboFix.txt к след. сообщению.
Скачайте Malwarebytes' Anti-Malware, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan",
после сканирования - Ok - Show Results - нажмите "Remove Selected"
Откройте лог и скопируйте в сообщение.
тут есть картинки по использованию Malwarebytes' Anti-Malware.
Можете также проверить систему с помощью AVPTool

Повторите логи virusinfo_syscheck.zip (AVZ уже можно использовать обычный, обновив базы), hijackthis (у вас HijackThis v1.99.1 - скачайте новую версию HijackThis) и повторите логи DSS