Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   Не запускаються ехе файлы. Ни один - 2 (http://forum.oszone.net/showthread.php?t=106977)

zhefran 14-05-2008 14:53 802449
На этом компьютере нет!
Но на другом появилась! Win 2000 Professional.
Не активен диспетчер задач. AVZ и HiJackThis запустились только потому, что я их поставил в автозагрузку.
вот логи

zhefran 14-05-2008 14:56 802450
Вложений: 1
Вот еще один

Pili 14-05-2008 15:20 802470
для кажой новой системы своя тема - темы разделил

Pili 14-05-2008 16:51 802556
Деинсталлируйте PC-Cleaner, отключите восстановление системы, перед выполнением скрипта отключите антивирус,
выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 StopService('Schedule');
 SetServiceStart('Schedule', 4);
 StopService('Google Online Services');
 SetServiceStart('Google Online Services', 4);
 StopService('LPTRDCsrv');
 SetServiceStart('LPTRDCsrv', 4);
 QuarantineFile('D:\WINNT\system32\vbsys2.dll','');
 QuarantineFile('D:\WINNT\system32\SKHOOKS.dll','');
 QuarantineFile('D:\WINNT\Temp\BFE.tmp','');
 QuarantineFile('D:\WINNT\Temp\7945.tmp','');
 QuarantineFile('D:\WINNT\system32\xjbbeyev.dll','');
 QuarantineFile('D:\WINNT\system32\ezeh251.exe','');
 QuarantineFile('D:\Documents and Settings\x\Local Settings\Temp\950bf97e.exe','');
 QuarantineFile('D:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\KLAZ0P2R\loader[1].exe','');
 QuarantineFile('c:\autoex.dll','');
 QuarantineFile('D:\WINNT\system32\hmlphl.dll','');
 QuarantineFile('D:\WINNT\system32\vtUooPgg.dll','');
 QuarantineFile('D:\WINNT\system32\userinit.exe','');
 QuarantineFile('D:\WINNT\system32\qpgzyxop.exe','');
 QuarantineFile('D:\WINNT\system32\ntos.exe','');
 QuarantineFile('D:\WINNT\system32\lsetup.exe','');
 QuarantineFile('D:\WINNT\system32\iderelml.exe','');
 QuarantineFile('D:\Program Files\PC-Cleaner\PC-Cleaner.exe','');
 QuarantineFile('D:\Documents and Settings\Default User\cftmon.exe','');
 QuarantineFile('D:\Documents and Settings\All Users\Документы\Settings\partnership.dll','');
 QuarantineFile('D:\Documents and Settings\All Users\Application Data\itkhufsx\mxqrsnof.exe','');
 QuarantineFile('D:\WINNT\system32\drivers\Beep.sys','');
 QuarantineFile('D:\WINNT\system32\drivers\deckzpsx.sys','');
 QuarantineFile('D:\WINNT\system32\drivers\ami0nt.sys','');
 QuarantineFile('D:\WINNT\system32\drivers\spools.exe','');
 QuarantineFile('D:\WINNT\System32\ATMsrvc.exe','');
 QuarantineFile('D:\Documents and Settings\x\ie_updates3r.exe','');
 QuarantineFile('D:\WINNT\ctfmon.exe','');
 QuarantineFile('D:\WINNT\system32\opnkhiii.dll','');
 DeleteService('Schedule');
 DeleteService('Google Online Services');
 DeleteService('LPTRDCsrv');
 DeleteFile('D:\WINNT\system32\opnkhiii.dll');
 DeleteFile('D:\Program Files\PC-Cleaner\PC-Cleaner.exe');
 DeleteFile('D:\Program Files\PC-Cleaner\com\pcsd.dll');
 DeleteFile('D:\WINNT\ctfmon.exe');
 DeleteFile('D:\Documents and Settings\x\ie_updates3r.exe');
 DeleteFile('D:\WINNT\system32\drivers\spools.exe');
 DeleteFile('D:\Documents and Settings\All Users\Application Data\itkhufsx\mxqrsnof.exe');
 DeleteFile('D:\Documents and Settings\All Users\Документы\Settings\partnership.dll');
 DeleteFile('D:\Documents and Settings\Default User\cftmon.exe');
 DeleteFile('D:\WINNT\system32\iderelml.exe');
 DeleteFile('D:\WINNT\system32\lsetup.exe');
 DeleteFile('D:\WINNT\system32\ntos.exe');
 DeleteFile('D:\WINNT\system32\qpgzyxop.exe');
 DeleteFile('D:\WINNT\system32\vtUooPgg.dll');
 DeleteFile('D:\WINNT\system32\hmlphl.dll');
 DeleteFile('c:\autoex.dll');
 DeleteFile('D:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\KLAZ0P2R\loader[1].exe');
 DeleteFile('D:\Documents and Settings\x\Local Settings\Temp\950bf97e.exe');
 DeleteFile('D:\WINNT\system32\ezeh251.exe');
 DeleteFile('D:\WINNT\system32\xjbbeyev.dll');
 DeleteFile('D:\WINNT\Temp\7945.tmp');
 DeleteFile('D:\WINNT\Temp\BFE.tmp');
 DeleteFile('D:\WINNT\system32\vbsys2.dll');
 DelBHO('{F50B3F5E-856E-4757-9BB1-B35D46CA7719}');
 DelBHO('{F2F2A4CB-DAAD-4D0C-BDFC-E945647202C2}');
 DelBHO('{AAD1C6AD-10AB-4cae-97FB-0AADDEC8A14B}');
 DelBHO('{83BFE9E1-5A8F-43DB-97D3-D34852ECCC32}');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
 ExecuteRepair(5);
 ExecuteRepair(6);
 ExecuteRepair(8);
 ExecuteRepair(11);
 ExecuteRepair(16);
RebootWindows(true);
end.
Компьютер перезагрузится. После перезагрузки выполнить ещё скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Файл quarantine.zip выслать на user15802[at]mail.ru, в теле письма указать ссылку на тему, или выложить файл на ifolder.ru или другой файлообменник и дать ссылку на него в ПМ (личку).
пофиксите в hijackthis строчки
Код:
F2 - REG:system.ini: UserInit=D:\WINNT\system32\userinit.exe,D:\WINNT\system32\ntos.exe,D:\WINNT\system32\lsetup.exe,
O2 - BHO: (no name) - {83BFE9E1-5A8F-43DB-97D3-D34852ECCC32} - D:\WINNT\system32\opnkhiii.dll
O2 - BHO: BhoApp Class - {AAD1C6AD-10AB-4cae-97FB-0AADDEC8A14B} - D:\WINNT\system32\hmlphl.dll (file missing)
O2 - BHO: (no name) - {F2F2A4CB-DAAD-4D0C-BDFC-E945647202C2} - c:\autoex.dll (file missing)
O2 - BHO: (no name) - {F50B3F5E-856E-4757-9BB1-B35D46CA7719} - D:\WINNT\system32\vtUooPgg.dll (file missing)
O4 - HKCU\..\Run: [czbltobn] D:\WINNT\system32\qpgzyxop.exe
O4 - HKCU\..\Run: [PC-Cleaner] "D:\Program Files\PC-Cleaner\PC-Cleaner.exe" hide
O4 - HKLM\..\Policies\Explorer\Run: [HIpha09YbC] D:\Documents and Settings\All Users\Application Data\itkhufsx\mxqrsnof.exe
O4 - HKUS\.DEFAULT\..\Run: [userinit] D:\WINNT\system32\ntos.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\Run: [ntuser] D:\WINNT\system32\drivers\spools.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\Run: [autoload] D:\Documents and Settings\Default User\cftmon.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\Run: [hxtfrjzj] D:\WINNT\system32\iderelml.exe (User 'Default user')
O20 - AppInit_DLLs: 
O20 - Winlogon Notify: partnershipreg - D:\Documents and Settings\All Users\Документы\Settings\partnership.dll (file missing)
O20 - Winlogon Notify: vtUooPgg - vtUooPgg.dll (file missing)
Вы антивирусом проверялись напр. cureit и AVPTool?
повторите логи и сделайте ещё логи DSS по правилам

zhefran 14-05-2008 18:20 802662
Цитата:
Цитата Pili
для кажой новой системы своя тема - темы разделил »
Понято-принято.
Логи все отправил

Pili 14-05-2008 19:19 802729
zhefran,
Цитата:
Цитата Pili
Вы антивирусом проверялись напр. cureit и AVPTool? »
если нет - проверьтесь (лучше в безопасном режиме)
Новые логи virusinfo_syscure.zip, virusinfo_syscheck.zip, hijackthis.zip прикрепите к сообщению
avptool_syscheck.zip не нужен, там AVZ старой версии
ПО логам DSS - из лог файлов main.txt и extra.txt, скопируйте текст и вставьте в окно вашего сообщения, если в одно сообщение не поместиться, продолжите лог файл в другом сообщении, если лог окажется очень большой, прикрепите эти файлы к сообщению.
Файлы в карантине пока проверяются
ntos.exe - Trojan-Spy.Win32.Zbot.btp
xjbbeyev.dll - AdWare.Win32.Virtumonde.qpx
950bf97e.exe - Downloader.Win32.UltimateFix.o

И ещё рекомендую провериться с помощью ComboFix
Скачайте ComboFix здесь или здесь и сохраните на рабочий стол.
1. Не переименовывайте Combofix
2. Внимание! Обязательно закройте все браузеры, закройте и отключите все антивирусное и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
3. Запустите combofix.exe, когда процесс завершится скопируйте и скопируйте текст из C:\ComboFix.txt в сообщение, если лог окажется очень большой, прикрепите ComboFix.txt к сообщению
**Не нажимайте кнопки мыши во время работы Combofix, это может стать причиной его зависания**
Как использовать ComboFix - how-to-use-combofix


Время: 23:14.

Время: 23:14.
© OSzone.net 2001-