Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   Вирус повредил фаил msimg32.dll. Ничего не запускается! Что делать? (http://forum.oszone.net/showthread.php?t=188998)

hener 21-10-2010 21:14 1524297
Вирус повредил фаил msimg32.dll. Ничего не запускается! Что делать?
 
Добрый день уважаемые формучане!!! Просьба помочь, буду краток, после очищения жеского диска от вирусных программ остались ограничения. Например: диспечер задач отключен администратором, реестр запрещен администратором. Пытаюсь включить через локальную палитику, пишет: Приложение не удалось запустить, поскольку msimg32.dll не был найден. Пытался воссстановить файлы (Пуск -> Выполнить -> CMD -> sfc/scannow), не удалось восстановить файлы. Пробывал восстановить во помощи утелиты: How To Repair Msimg32.Dll - требует ключ. Пытался заменить фаил msimg32.dll пишет: Этот фаил уже используется. Сканировал систему AVZ, Касперский, Доктор вэп и аваст. Результат так же 0. Пытался отредактировать реестр во помощи утелиты, вроде нужный параметр удалил, но после выхода с программы - он восстанавливается.
Просьба порекомендовать советом в восстановления файлв - msimg32.dll

zirreX 21-10-2010 21:43 1524330
Здравствуйте!

http://www.forum.oszone.net/thread-98169.html
3. Сбор лог файлов для последующего их анализа
Внимательно прочитайте и подготовьте логи AVZ и RSIT.

hener 21-10-2010 22:05 1524350
Цитата:
Цитата Fedin
Внимательно прочитайте и подготовьте логи AVZ и RSIT. »
AVZ и RSIT не запускается

hener 21-10-2010 22:16 1524358
Вложений: 1
Удалось все же запустить HijackThis. Фаил прикреплен.

zirreX 21-10-2010 22:23 1524364
Скачайте полиморфный АВЗ по ссылке
http://rghost.ru/2828129

Запустите и подготовьте логи по правилам.

hener 21-10-2010 23:21 1524409
AVZ логи:
virusinfo_syscure.zip
virusinfo_syscheck.zip

HijackThis логи:
HijackThis.zip

zirreX 22-10-2010 00:06 1524434
#Скрипт АВЗ

Перед выполнением скрипта отключите защитное ПО (антивирус, файрволл)


AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
 TerminateProcessByName('D:\DOCUME~1\Admin\LOCALS~1\Temp\winpgqicc.exe');
 TerminateProcessByName('D:\DOCUME~1\Admin\LOCALS~1\Temp\plqpca.exe');
 TerminateProcessByName('D:\DOCUME~1\Admin\LOCALS~1\Temp\gekydj.exe');
 TerminateProcessByName('D:\DOCUME~1\Admin\LOCALS~1\Temp\winmdkqso.exe');
 StopService('abp470n5');
 QuarantineFile('D:\WINDOWS\islim310\Monitor.exe','');
 QuarantineFile('D:\DOCUME~1\Admin\LOCALS~1\APPLIC~1\27078151.exe','');
 QuarantineFile('D:\DOCUME~1\Admin\LOCALS~1\APPLIC~1\6297080.exe','');
 QuarantineFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\winpgqicc.exe','');
 QuarantineFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\plqpca.exe','');
 QuarantineFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\gekydj.exe','');
 QuarantineFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\winmdkqso.exe','');
 QuarantineFile('D:\WINDOWS\system32\drivers\lnokmr.sys','');
 DeleteFile('D:\WINDOWS\system32\drivers\lnokmr.sys');
 DeleteFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\winmdkqso.exe');
 DeleteFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\gekydj.exe');
 DeleteFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\plqpca.exe');
 DeleteFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\winpgqicc.exe');
 DeleteService('abp470n5');
BC_ImportAll;
ExecuteSysClean;
 BC_DeleteSvc('amsint32');
BC_Activate;
 ExecuteRepair(11);
 ExecuteRepair(17);
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится!

После перезагрузки выполните такой скрипт

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".
Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
В результате выполнения скрипта будет сформирован карантин. Отправьте c:\quarantine.zip на адрес quarantine@virusnet.info, в названии темы укажите – Ссылку на вашу тему.Результаты ответа сообщите здесь, в теме.

У вас активный файловый вирус.

Как лечить файловый вирус

1) Скачайте на заведомо "здоровом" компьютере утилиту от DrWeb - CureIT! Разархивируйте и запишите её на CD или DVD, можно записать и на флешку, если производителем предусмотрен режим защиты данных от изменений (только чтение). Иначе активный вирус повредит утилиту ещё до запуска. Сделайте полную проверку зараженного компьютера в режиме Safe Mode, затем в нормальном.

После этого подготовьте логи AVZ и RSIT

Установите Internet Explorer 8

hener 22-10-2010 22:00 1525120
Выполнил проверку во помощи утилиты от DrWeb - CureIT и Антивирусом Касперского. Логи перезалил. Проблема с реестром и диспечером улажена, но к сожалению проблема с msimg32.dll осталась.
AVZ логи:
virusinfo_syscure.zip
virusinfo_syscheck.zip

HijackThis логи:
HijackThis.zip

Письмо отправил - quarantine@virusnet.info, ответ не пришел.

zirreX 22-10-2010 22:41 1525147
проверьте файл на www.virustotal.com

d:\windows\islim310\monitor.exe

Приведите ссылку с результатом проверки


Перед выполнением скрипта отключите защитное ПО (антивирус, файрволл)


AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('D:\WINDOWS\system32\drivers\lnokmr.sys');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('abp470n5');
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится!

Цитата:
Цитата hener
HijackThis логи:
HijackThis.zip »
Лучше сделать лог RSIT

Скачайте RSIT или c зеркала. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

файл msimg32.dll восстановим

Повторите лог AVZ

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.

hener 22-10-2010 23:55 1525223
d:\windows\islim310\monitor.exe - проверен, ВОТ результат проверки, был обнаружен: антивирусом: ClamAV, вирус: W32.Sality-81.

Скрипт выполнил. Вот новые логи:

AVZ логи:
virusinfo_syscure.zip
virusinfo_syscheck.zip

HijackThis логи:
HijackThis.zip

RSIT логи:
rsit.zip

hener 23-10-2010 00:12 1525242
Вложений: 1
Malwarebytes' Anti-Malware отчет прикреплен.

zirreX 23-10-2010 01:07 1525274
Перед выполнением скрипта отключите защитное ПО (антивирус, файрволл)


AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('F:\whjbq.exe');
DeleteFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\ufycn.exe');
DeleteFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\winuiwm.exe');
DeleteFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\winrpmcp.exe');
DeleteFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\lqaomc.exe');
DeleteFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\winopibcu.exe');
DeleteFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\pvqo.exe');
DeleteFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\ylmqkg.exe');
DeleteFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\winfcnkbh.exe');
DeleteFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\dyavot.exe');
DeleteFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\winoyubm.exe');
DeleteFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\ecqq.exe');
DeleteFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\wingmjvb.exe');
DeleteFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\jnyw.exe');
DeleteFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\winildnys.exe');
DeleteFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\nvdxyd.exe');
DeleteFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\winepvu.exe');
DeleteFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\ovns.exe');
DeleteFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\wintmgs.exe');
DeleteFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\bqcr.exe');
DeleteFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\winmocuca.exe');
DeleteFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\winosej.exe');
DeleteFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\hqgc.exe');
DeleteFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\winrqps.exe');
DeleteFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\winsmqg.exe');
DeleteFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\bkwavx.exe');
DeleteFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\akno.exe');
DeleteFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\dlbe.exe');
DeleteFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\winwgnk.exe');
DeleteFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\gkyjgr.exe');
DeleteFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\windgfpeo.exe');
DeleteFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\wingvbul.exe');
DeleteFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\dfjbaw.exe');
DeleteFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\luryj.exe');
DeleteFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\wingagl.exe');
DeleteFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\wintery.exe');
DeleteFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\winipdd.exe');
DeleteFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\winbava.exe');
DeleteFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\hlpyts.exe');
DeleteFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\kble.exe');
DeleteFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\husqyk.exe');
DeleteFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\kwmo.exe');
DeleteFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\xmcod.exe');
DeleteFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\winliftyx.exe');
DeleteFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\utjnb.exe');
DeleteFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\windtto.exe');
DeleteFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\winkaigh.exe');
DeleteFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\winndogt.exe');
DeleteFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\winvvqkp.exe');
DeleteFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\winfjgv.exe');
DeleteFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\winjhrd.exe');
DeleteFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\mrcfn.exe');
DeleteFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\wintilbqk.exe');
DeleteFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\ybrd.exe');
DeleteFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\winpaqly.exe');
DeleteFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\wintlyhws.exe');
DeleteFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\vlcd.exe');
DeleteFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\khwyeg.exe');
DeleteFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\wintota.exe');
DeleteFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\xsqvkp.exe');
DeleteFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\winawfieu.exe');
DeleteFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\yffwmv.exe');
DeleteFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\wintivh.exe');
DeleteFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\winkkju.exe');
DeleteFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\wintvxk.exe');
DeleteFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\winxfuklm.exe');
DeleteFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\winpcoj.exe');
DeleteFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\bsirxe.exe');
DeleteFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\qrbqrc.exe');
DeleteFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\vokse.exe');
DeleteFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\ypuv.exe');
DeleteFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\winggwhnk.exe');
DeleteFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\winhxobe.exe');
DeleteFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\winmopkw.exe');
DeleteFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\brfxlp.exe');
DeleteFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\sagis.exe');
DeleteFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\winfhmfc.exe');
DeleteFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\dmlp.exe');
DeleteFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\bshic.exe');
DeleteFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\winhgkjh.exe');
DeleteFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\vvwbtg.exe');
DeleteFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\winwrqqgf.exe');
DeleteFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\winxkvfl.exe');
DeleteFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\winqixdva.exe');
DeleteFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\wintnee.exe');
DeleteFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\winuctl.exe');
DeleteFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\eounyq.exe');
DeleteFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\winvolhj.exe');
DeleteFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\winqscpqr.exe');
DeleteFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\winxrlysc.exe');
DeleteFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\winguhd.exe');
DeleteFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\winniig.exe');
DeleteFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\bkaxpi.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится!

Повторите лог RSIT


Установите Internet Explorer 8

Обновите Adobe Reader до версии 9.4
http://get.adobe.com/reader/

zirreX 23-10-2010 02:40 1525301
hener, определитесь уже на каком форуме будете лечить компьютер!

http://pchelpforum.ru/f26/t38904/
http://pchelpforum.ru/f34/t38889/

hener 23-10-2010 07:37 1525327
Цитата:
Цитата Fedin
hener, определитесь уже на каком форуме будете лечить компьютер!
http://pchelpforum.ru/f26/t38904/
http://pchelpforum.ru/f34/t38889/ »
Мне любой совет важен!!! Но все же воспользуюсь советом от Вашего сайта.

hener 23-10-2010 08:23 1525339
Вложений: 1
Логи прикрепленны

zirreX 23-10-2010 16:50 1525550
Последний скрипт выполняли?

Скачайте Dr Web Live CD, запишите ISO-образ на диск, загрузитесь с него (в биосе выставить загрузку с CD-DVD привода) и просканируйте компьютер!
Удалите всё найденное.

После чего жду логи AVZ и RSIT


Время: 02:24.

Время: 02:24.
© OSzone.net 2001-