Самопроизвольное завершение программ и AVP, при выключении перезагрузка!

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)

- Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)

Самопроизвольное завершение программ и AVP, при выключении перезагрузка!

Самопроизвольно завершается выполнение различных программ и видео, при нажатии кнопки выключения комп не отключается а перезагружается с отключением ESET SS 2.2.67.10 (лиц. антивирус-но закончилась лиц в январе -не продлил наверно из-за лени и вот к чему это привело - каюсь)

Доброе утро, у вас есть дистрибутив вашей копии Windows? может понадобиться при выполнении скрипта. Подготовьте пожалуйста и подождите скрипт лечения

Цитата:

Цитата maniy77

Доброе утро, у вас есть дистрибутив вашей копии Windows? может понадобиться при выполнении скрипта. Подготовьте пожалуйста и подождите скрипт лечения »

- в папке на винте (лиц. винду слил с нетбука )))

Вы лечились CureIt?

Проверьте сами на http://www.virustotal.com файл

Код:

c:\windows\system32\dllhost.exe

c:\windows\system32\dmadmin.exe

C:\WINDOWS\system32\Drivers\Video3D32.sys

F:\Share

ссылки на результат проверки запостите здесь

F:\Share - это вам знакомо?

Выполните такой скрипт. Предварительно вставьте в привод дистрибутив вашей копии Windows. Это нужно на тот случай, если понадобится заменить заражённый системный файл.

Отключите:
Компьютер от интернета/локальной сети
Антивирус/Файерволл

AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.

Код:

Procedure SysFileRecoverFromDistrib (Path, Name : string);

begin

 if MessageDLG('Для замены повреждённого системного файла ' + Name + ', который находится в папке ' + Path + ', вставьте дистрибутив Windows в CD\DVD-привод и нажмите "Да". Если же у вас нет дистрибутива или Вы хотите выполнить замену самостоятельно, нажмите "Нет"', mtConfirmation, mbYes+mbNo, 0) = 6 then

  begin   

    ExecuteFile('sfc /scannow', '', 1, 0, true);

    AddToLog('Пользователь выполнил "sfc /scannow"');

    SaveLog('Recover_' + Name + '.log');

  end

 else

  begin

    AddToLog('Пользователь выбрал самостоятельный способ замены.');

    SaveLog('Recover_' + Name + '.log');

  end;

end;



Procedure CompleteFix(Path, Name : string);

begin

   RenameFile('%windir%\system32\' + Name, '%windir%\system32\' + Name + '.bak');

   CopyFile(Path + Name, '%windir%\system32\' + Name);

   DeleteFile('%windir%\system32\' + Name + '.bak');

end;



Procedure SysFileRecoverFromBackup(Path, Name : string);

begin

  if (FileExists('%windir%\system32\dllcache\' + Name) and FileExists('%windir%\ServicePackFiles\i386\dllcache\' + Name)) and ((CalkFileMD5('%windir%\system32\dllcache\' + Name) <> CalkFileMD5('%windir%\ServicePackFiles\i386\dllcache\' + Name))) then

   begin

     AddToLog('Замена из ServicePackFiles\i386\dllcache и dllcache не произведена - разные файлы в папках. Запрошен дистрибутив.');

     SaveLog('Recover_' + Name + '.log');

     SysFileRecoverFromDistrib(Path, Name);

   end

  else if FileExists('%windir%\system32\dllcache\' + Name) then

   begin

    if (CalkFileMD5('%windir%\system32\dllcache\' + Name) <> CalkFileMD5(Path + Name)) then

      begin

        CompleteFix('%windir%\system32\dllcache\', Name); 

        AddToLog('Замена ' + Name + ' успешно произведена из \system32\dllcache\');

        SaveLog('Recover_' + Name + '.log');

      end

    else if FileExists('%windir%\ServicePackFiles\i386\dllcache\' + Name) then

     begin

       if (CalkFileMD5('%windir%\ServicePackFiles\i386\dllcache\' + Name) <> CalkFileMD5(Path + Name)) then

        begin

          CompleteFix('%windir%\ServicePackFiles\i386\dllcache\', Name);

          AddToLog('Замена ' + Name + ' успешно произведена из \ServicePackFiles\i386\');

          SaveLog('Recover_' + Name + '.log');

        end

     end

   end;

 if (not FileExists('%windir%\system32\dllcache\' + Name)) and (not FileExists('%windir%\ServicePackFiles\i386\dllcache\' + Name)) then 

  begin

    AddToLog('Замена из ServicePackFiles\i386\dllcache и dllcache не произведена - нет файлов. Запрошен дистрибутив.');

    SaveLog('Recover_' + Name + '.log');

    SysFileRecoverFromDistrib(Path, Name);

  end;

end;



var SourcePath : String;

begin

SearchRootkit(true, true);

SetAVZGuardStatus(True);

 QuarantineFile('C:\WINDOWS\system32\drivers\sfc.sys','');

 QuarantineFile('F:\Share','');

 QuarantineFile('C:\Program Files\Internet Explorer\setupapi.dll','');

 QuarantineFile('C:\WINDOWS\system32\Drivers\Video3D32.sys','');

 QuarantineFile('C:\WINDOWS\system32\155D.tmp','');

 QuarantineFile('C:\WINDOWS\system32\OLD8DC.tmp','');

 QuarantineFile('C:\WINDOWS\DUMP7530.tmp','');

 QuarantineFile('C:\WINDOWS\system32\1C93.tmp','');

 DeleteFile('C:\WINDOWS\system32\155D.tmp');

 DeleteFile('C:\WINDOWS\system32\OLD8DC.tmp');

 DeleteFile('C:\WINDOWS\DUMP7530.tmp');

 DeleteFile('C:\WINDOWS\system32\1C93.tmp');

 DeleteFile('C:\Program Files\Internet Explorer\setupapi.dll');

 DeleteFile('C:\WINDOWS\system32\drivers\sfc.sys');

 DeleteFile('C:\Program Files\Common Files\keylog.txt');

 RegKeyParamDel('HKEY_LOCAL_MACHINE','System\CurrentControlSet\Control\Session Manager\AppCertDlls','DefaultVerifier');

 SysFileRecoverFromBackup('%windir%\system32\', 'sfcfiles.dll');

BC_ImportAll;

ExecuteSysClean;

 BC_DeleteSvc('sfc');

BC_Activate;

ExecuteRepair(1);

ExecuteRepair(20);

RebootWindows(true);

end.

После выполнения скрипта компьютер перезагрузится!

После перезагрузки обязательно прикрепите файл Recover_sfcfiles.log, он появится в папке AVZ.

Затем, выполните такой скрипт:

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".

Код:

begin

 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');

end.

В результате выполнения скрипта будет сформирован карантин.Отправьте c:\quarantine.zip при помощи этой формы

Логи повторите

+

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.

забыла предупредить о смене важных для вас паролей! меняем в обязательном порядке

Цитата:

Цитата maniy77

Вы лечились CureIt? »

Да! я же логи выложил или что то не так сделал? CureIt нашел много *kkq и тройку червей - см. вложение лог DrWeb.rar

Цитата:

Цитата maniy77

Код:
c:\windows\system32\dllhost.exe
c:\windows\system32\dmadmin.exe
C:\WINDOWS\system32\Drivers\Video3D32.sys
F:\Share »

c:\windows\system32\dllhost.exe -http://www.virustotal.com/file-scan/report.html?id=d4f912e4589102dde3a006bace42ffbf54960461179158b1332c46d6bded23a1-1301313945
c:\windows\system32\dmadmin.exe - http://www.virustotal.com/file-scan/report.html?id=9c23c699e5cfecf393544f97d8cc2f2b739543cb2bab1563981a3552c3654aab-1301314644
C:\WINDOWS\system32\Drivers\Video3D32.sys - нет у меня такого файла в данной папке ((( ближайшее - videoprt.sys
F:\Share - Шара, это мой "расшареный диск" файлообмена p2p- софт, проги, игры, фильмы, хрень ))) -см. http://dom.shareman.tv/
Не уверен что все правильно сделал - чем отличается C:\WINDOWS от c:\windows ?

Цитата:

Цитата maniy77

Отключите:
Компьютер от интернета/локальной сети
Антивирус/Файерволл
AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить. »

- выполнил/комп перезагрузился/ -Recover_sfcfiles.log - не появился ((( только папки Backup и Quarantine - Что я делаю не так?
Выполнил второй -карантин отослал

Цитата:

Цитата maniy77

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите... »

сканирую (нажал полное - он на "русском") как закончит выложу!

Цитата:

Цитата Doc_1

что то не так сделал? »

все правильно Вы делаете, просто по логам много измененных файлов, вот и интересуюсь

похоже на файловое заражение

Проверьте пожалуйста файл C:\Windows\system32\sfcfiles.dll на http://www.virustotal.com/index.html

результат сюда выложите

не забудьте повторить логи AVZ + RSIT

давайте отправим вот эти файлы в ЛК на проверку. Для чистоты лечения - Доверяй, но проверяй.

Код:

c:\windows\system32\dllhost.exe

c:\windows\system32\dmadmin.exe

Запакуйте копии файлов в архив quarantine.zip
или с любым другим названием, запарольте архив словом virus
Отправьте c:\quarantine.zip при помощи этой формы
В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus" (без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Результаты ответа, сообщите здесь, в теме.

Выкладываю лог Malwarebytes' Anti-Malware

Цитата:

Цитата maniy77

Проверьте пожалуйста файл C:\Windows\system32\sfcfiles.dll »

- http://www.virustotal.com/file-scan/report.html?id=f2632796e5aa741e56f6b570feaf630398c19141ba604b2a8464df0b8bca1a83-1301326068

Цитата:

Цитата maniy77

Код:
c:\windows\system32\dllhost.exe - http://www.virustotal.com/file-scan/report.html?id=d4f912e4589102dde3a006bace42ffbf54960461179158b1332c46d6bded23a1-1301326374
c:\windows\system32\dmadmin.exe »

- http://www.virustotal.com/file-scan/report.html?id=9c23c699e5cfecf393544f97d8cc2f2b739543cb2bab1563981a3552c3654aab-1301326810
+ отправил карантин

Цитата:

Цитата maniy77

логи AVZ + RSIT »

свежие логи

Продлил лицензию ESET SS обновил/запустил полное сканирование на ночь - найдены множественные угрозы - Win32/Expiro.R вирус
ESET подвис пришлось перезагрузится через диспетчер!

Цитата:

Цитата Doc_1

найдены множественные угрозы - Win32/Expiro.R вирус »

это не есть хорошо.
давайте так, повторное лечение системы при помощи LiveCD либо LiveUSB (записывать образ на здоровой системе), лишь потом свежие логи

Цитата:

Цитата Doc_1

выполнил/комп перезагрузился/ -Recover_sfcfiles.log - не появился ((( только папки Backup и Quarantine - Что я делаю не так? »

Попробуйте поиском найти Recover_sfcfiles.log

Цитата:

Цитата maniy77

давайте так, повторное лечение системы при помощи LiveCD либо LiveUSB (записывать образ на здоровой системе), лишь потом свежие логи »

просканировал LiveUSB - сканировалось около суток - так и должно быть? Вроде чисто - я не "выдержал ребутнулся"
просканировал "штатным" ESET-том - в системе вроде тоже чисто (только в карантине около 130 Win32/Expiro.R вирус так и лежит)

Цитата:

Цитата Doc_1

(только в карантине около 130 Win32/Expiro.R вирус так и лежит) »

зачем? удаляйте

avz логи нужны в архивах из папки LOG virusinfo_syscure.zip, virusinfo_syscheck.zip

скрипт написан по контрольным логам от 28.03, по-моему, virusinfo_syscheck.zip вы залили старый

Отключите:
Антивирус/Файерволл

AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.

Код:

begin

ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');

ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);

SearchRootkit(true, true);

SetAVZGuardStatus(True);

QuarantineFile('c:\program files\internet explorer\setupapi.dll','');

QuarantineFile('C:\DOCUME~1\F115~1\LOCALS~1\Temp\esihdrv.sys','');

DeleteFile('C:\DOCUME~1\F115~1\LOCALS~1\Temp\esihdrv.sys');

 DeleteFile('c:\program files\internet explorer\setupapi.dll');

DeleteService('esihdrv');

 RegKeyParamDel('HKEY_LOCAL_MACHINE','System\CurrentControlSet\Control\Session Manager\AppCertDlls','DefaultVerifier');

BC_ImportAll;

ExecuteSysClean;

BC_Activate;

ExecuteRepair(1);

RebootWindows(true);

end.

После выполнения скрипта компьютер перезагрузится!

После перезагрузки выполните такой скрипт:

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".

Код:

begin

 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');

end.

В результате выполнения скрипта будет сформирован карантин.Отправьте c:\quarantine.zip при помощи этой формы

Пофиксить в HijackThis следующие строчки:

Код:

R3 - URLSearchHook: (no name) - - (no file)

O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file)

Сделайте повторные логи AVZ + RSIR

maniy77, спасибо за помощ с вирусней вроде покончено по крайней мере сканеры KAV, drWEB (live USB) и "штатный" ESET SS 4.2 ничего не обнаруживают!
Вот только как восcтановить хотя бы некоторые поврежденные системные файлы - *exe - шники винды, не говоря о установленом софте? - Если имеется только "дистрибутив" на флешке в виде простой папки i386 (лиц. винда была на буке и я ее оттуда дернул)! Точек отката нет! Есть еще консоль востановления но я как то невкурил!

Вам нужно записать ОС (Windows XP Home Edition Service Pack 3) на болванку и
выполнить проверку целостности системных файлов.
Вставить диск с дистрибутивом.
пуск - выплонить - ввести
sfc.exe /scannow

Цитата:

Цитата maniy77

Вам нужно записать ОС (Windows XP Home Edition Service Pack 3) на болванку и »

- а где его взять то обновлялса то до SP3 через инет - записал тот что был пишет что неправильный образ - видимо не SP3

Найдите в инете или попросите у знакомых диск Windows XP Service Pack 3 и желательно - не сборку , но в крайнем случае можно попробовать и сборку.

PS. Не может быть чтобы в вашем населенном пункте ни у кого не было диска с Windows XP SP3

Цитата:

Цитата iskander-k

PS. Не может быть чтобы в вашем населенном пункте ни у кого не было диска с Windows XP SP3 »

Да повеселились! Только вы уверены что подойдет любая хрюша 3? Я вот не очень!

Doc_1, у вас в РМ (от 8 апреля) линки на скачивание вашей версии ОС, потрудитесь ознакомиться, скачать и записать на болванку.