VR

Markus Делать логи, если авз не запускается попробуй этой сделать логи

ligalize А где новые логи? К фотошопу он не имеет отношение. профиксь в hijackthis (как фиксить смотри в шапке) следующию строчку O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe Каких именно? Сделай лог вырубая эти процессы

ligalize Выполни скрипт AVZ (как выполнить скрипт в шапке) begin QuarantineFile('C:\WINDOWS\system32\drivers\MTictwl.sys',''); QuarantineFile('C:\WINDOWS\system32\drivers\MTiCtwl.sys',''); QuarantineFile('C:\WINDOWS\system32\DRIVERS\dsnpfd.sys',''); end. Выполни скрипт AVZ begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. quarantine.zip из папки AVZ залей на сибнет Удалите Bonjour. Уже давно нужно было поставить SP3 Заново сделать лог AVZ (2й стандартный скрипт AVZ)

mr.potatoes Запускаете с правами администратора? Сделай логи по правилам в шапке этой темы.

OniX Чисто

OniX Выполни скрипт AVZ (как выполнить скрипт в шапке) begin SetServiceStart('RDSessMgr', 4); SetServiceStart('mnmsrvc', 4); SetServiceStart('SSDPSRV', 4); SetServiceStart('TermService', 4); SetServiceStart('RemoteRegistry', 4); SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteService('Boonty Games'); QuarantineFile('C:\Program Files\Common Files\BOONTY Shared\Service\Boonty.exe',''); SetServiceStart('Schedule', 4); DeleteFile('D:\System Volume Information\_restore{D47571DB-726A-4AA3-B61D-CF738887987F}\RP1\A0000115.dll'); DeleteFile('C:\Program Files\Common Files\BOONTY Shared\Service\Boonty.exe'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end. Заново сделать лог AVZ (2й стандартный скрипт AVZ) Добавлено спустя 1 минуту 36 секунд: KOTIK Заново сделать лог AVZ (2й стандартный скрипт AVZ)

OniX Выполни скрипт AVZ (как выполнить скрипт в шапке) begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('D:\Гриха\Игры\l2\програмы для л2\l2phx.3.5.14.124\LSPprovider.dll',''); QuarantineFile('C:\WINDOWS\erunt\backup.exe',''); QuarantineFile('C:\WINDOWS\system32\syschk32.exe',''); QuarantineFile('C:\WINDOWS\system32\Drivers\pssdklbf.sys',''); QuarantineFile('C:\WINDOWS\system32\Drivers\pssdk40.sys',''); QuarantineFile('C:\WINDOWS\system32\DRIVERS\srv.sys',''); QuarantineFile('C:\Program Files\Common Files\BOONTY Shared\Service\Boonty.exe',''); DeleteFile('C:\WINDOWS\system32\syschk32.exe'); DeleteFile('D:\Гриха\Игры\l2\програмы для л2\l2phx.3.5.14.124\LSPprovider.dll'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end. Выполни скрипт AVZ begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. Профиксь HijackThis R3 - URLSearchHook: (no name) - - (no file) O20 - AppInit_DLLs: 0 У тебя в системе стоит драйвер от ComboFix для того что бы его удалить нажми Пуск => Выполнить в окне наберите команду Combofix /u, нажмите кнопку "ОК" Скачайте OTCleanIt, запустите, нажмите Clean up quarantine.zip из папки AVZ залей Заново сделать лог AVZ (2й стандартный скрипт AVZ) и лог HijackThis Добавлено спустя 40 минут 36 секунд: KOTIKKOTIK Выполни скрипт AVZ (как выполнить скрипт в шапке) begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('D:\System Volume Information\_restore{2B5BD7A9-9898-46D1-83C4-5A75622AD234}\RP99\A0035600.exe',''); QuarantineFile('D:\Downloads\Auslogics BoostSpeed 4.4.11.215[ulanovka.ru]\BoostSpeed.exe',''); DeleteFile('D:\Downloads\Auslogics BoostSpeed 4.4.11.215[ulanovka.ru]\BoostSpeed.exe'); DeleteFile('D:\System Volume Information\_restore{2B5BD7A9-9898-46D1-83C4-5A75622AD234}\RP99\A0035600.exe'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end. Выполни скрипт AVZ begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. quarantine.zip из папки AVZ залей на сибнет Заново сделать лог AVZ (2й стандартный скрипт AVZ)

Пожалуйста и спасибо

Dvorkin Почисти темпы. - Скачай ATF Cleaner, запусти, поставь галочку напротив Select All и нажми Empty Selected. - если используешь Firefox, нажми Firefox -> Select All -> Empty Selected - нажми No, если надо оставить сохраненные пароли - если пользуешься Oпeрой, выбери Opera -> Select All -> Empty Selected - нажми No, если надо оставить сохраненные пароли После чего запусти повторно быструю проверку. какой будет результат? Innk попробуй проверить диск с проблемной виндовс [CureIT Gmer так и не запускается?

Dvorkin Логи чистые. Проблемы есть? Добавлено спустя 27 минут 51 секунду: MulderMulder В логах чисто

Dvorkin begin SearchRootkit(true, true); SetAVZGuardStatus(True); ClearQuarantine; StopService('NationalSer1.31'); QuarantineFile('C:\Windows\system32\xsxvb.exe',''); DeleteFile('C:\Windows\system32\xsxvb.exe'); DeleteService('NationalSer1.31'); BC_ImportAll; ExecuteSysClean; BC_Activate; BC_DeleteSvc('NationalSer1.31'); SetAVZPMStatus(True); RebootWindows(true); end. Выполни скрипт AVZ begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. Если после перезагрузки появится неизвестное устройство - удали его через диспетчер устройств. Удали программу Bonjour. quarantine.zip из папки AVZ залей на сибнет Заново сделать новые логи AVZ Добавлено спустя 4 минуты 52 секунды: CustomS Нечего плохого не увидел. Можешь только удалить Bonjour что это такое и для чего читай выше

Innk На проблемной винде хоть хоть что либо из программ запускается? Так же попробуй сделать логи в безопасном режиме. Ты Gmer побывал переименовывать? Так же попробуй сделать лог ComboFix

Dvorkin Выполни скрипт AVZ begin QuarantineFile('C:\Windows\system32\xsxvb.exe',''); RebootWindows(true); end. Выполни скрипт AVZ begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. quarantine.zip из папки AVZ залей на сибнет Заново сделать лог AVZ (2й стандартный скрипт AVZ)

Mulder Да нормально, так и должно быть. Попробуй еще раз залить, если не поможет то переменуй архив. Карантин залился?

Innk Это вирус в себе не несет не какой деструктивного функционала кроме как само распространения. Тогда на второй виндовс установи антивирус обнови базы и произведи полное сканирование системы. Так же из под заражоной системы попробуй сделать лог Gmer Запусти программу начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажми No. После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов: Sections IAT/EAT Show all Из всех дисков оставьте отмеченным только системный диск (обычно C:\) Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK. После окончания проверки сохраните его лог (нажмите на кнопку Save) и ввыложить на сибнет Добавлено спустя 13 минут 58 секунд: Mulder Выполни скрипт AVZ (как выполнить скрипт в шапке) SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\Program Files\PRMT8\PRMTIE\prmtie5.htm',''); QuarantineFile('C:\WINDOWS\gdrv.sys',''); QuarantineFile('C:\Program Files\Common Files\AVerMedia\Service\AVerRemote.exe',''); QuarantineFile('C:\Program Files\Common Files\AVerMedia\Service\AVerScheduleService.exe',''); QuarantineFile('C:\Program Files\LoviVkontakte\VkontakteService.exe',''); DeleteService('LoviVkontakteService'); DeleteFile('C:\Program Files\LoviVkontakte\VkontakteService.exe'); DeleteFile('C:\WINDOWS\gdrv.sys'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; ExecuteWizard('TSW', 3, 3, true); ExecuteWizard('SCU', 3, 3, true); RebootWindows(true); end.begin Выполни скрипт AVZ begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. quarantine.zip из папки AVZ залей на сибнет Внимание !!! База поcледний раз обновлялась 10.06.2009 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз) Заново сделать лог AVZ (2й стандартный скрипт AVZ)

Innk Попробуй переменовать АВЗ например hkj.com если не поможет то скачай полиморфную АВЗ и попробуй ей сделать логи по правилам Добавлено спустя 12 минут 11 секунд: Dvorkin Выполни скрипт AVZ (как выполнить скрипт в шапке) begin SearchRootkit(true, true); SetAVZGuardStatus(True); TerminateProcessByName('c:\windows\system32\mwcou.exe'); TerminateProcessByName('c:\windows\system32\oksmw.exe'); DeleteService('rfs'); DeleteService('hf'); DeleteService('fef'); DeleteService('bdfg'); DeleteService('Atvdvvxx'); QuarantineFile('C:\soft\Miranda IM Neon by Carleone\Plugins\shlext.dll',''); QuarantineFile('C:\Program Files\\Windows Media Player\wmprph.exe',''); QuarantineFile('progman.exe',''); QuarantineFile('C:\Windows\fsdx.exe',''); QuarantineFile('C:\Windows\system32\mwcou.exe',''); QuarantineFile('C:\Windows\system32\qbbqs.exe',''); QuarantineFile('C:\Windows\gdfg.exe',''); QuarantineFile('C:\Windows\fdv.exe',''); QuarantineFile('C:\Windows\system32\oksmw.exe',''); DeleteService('ghbd'); DeleteService('vfd'); DeleteService('uj'); QuarantineFile('C:\Windows\system32\mnjmq.exe',''); QuarantineFile('C:\Windows\system32\ousoe.exe',''); QuarantineFile('C:\Windows\System32\Drivers\auajwpd1.SYS',''); QuarantineFile('C:\Users\Bair\AppData\Local\Temp\2u7ZfKc2.sys',''); QuarantineFile('c:\windows\system32\oksmw.exe',''); QuarantineFile('c:\windows\system32\mwcou.exe',''); DeleteFile('c:\windows\system32\mwcou.exe'); DeleteFile('c:\windows\system32\oksmw.exe'); DeleteFile('C:\Users\Bair\AppData\Local\Temp\2u7ZfKc2.sys'); DeleteFile('C:\Windows\System32\Drivers\auajwpd1.SYS'); DeleteFile('C:\Windows\system32\ousoe.exe'); DeleteFile('C:\Windows\system32\mnjmq.exe'); DeleteFile('C:\Windows\system32\oksmw.exe'); DeleteFile('C:\Windows\fdv.exe'); DeleteFile('C:\Windows\gdfg.exe'); DeleteFile('C:\Windows\system32\qbbqs.exe'); DeleteFile('C:\Windows\system32\mwcou.exe'); DeleteFile('C:\Windows\fsdx.exe'); DeleteFile('C:\Windows\system32\DRIVERS\nwlnkfwd.sys'); DeleteFileMask('C:\Users\Bair\AppData\Local\Temp\ ','*.*', true); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; ExecuteWizard('TSW', 3, 3, true); ExecuteWizard('SCU', 3, 3, true); RebootWindows(true); end. Выполни скрипт AVZ begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. quarantine.zip из папки AVZ залей на сибнет Повтори лог AVZ

-=Nik0=- Принципе логи чистые. Выполни такой скрипт АВЗ begin RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3); ExecuteWizard('TSW', 3, 3, true); ExecuteWizard('SCU', 3, 3, true); RebootWindows(true); end.

Хр Давай приноси посмотрим. Они все в одной сети и симптому у них одинаковые?

Mulder Заливай на сибнет, ссылку суда.

Хр В логах нечего плохого не увидел. Какие симптомы, проблемы?

INFINITY Выполнить скрипт в AVZ. begin RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1); end. Логах чисто. Проблемы есть?

INFINITY Где новые логи? Заново сделать лог AVZ (2й стандартный скрипт AVZ)

INFINITY Выполни скрипт AVZ (как выполнить скрипт в шапке) begin SearchRootkit(true, true); SetAVZGuardStatus(True); RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3); QuarantineFile('C:\WINDOWS\System32\PrintFilterPipelineSvc.exe',''); QuarantineFile('C:\Program Files\pchd\PCHDPlayer.exe',''); QuarantineFile('C:\DOCUME~1\CHALLE~1\LOCALS~1\Temp\KOT747.tmp',''); DeleteService('GarenaPEngine'); QuarantineFile('C:\WINDOWS\system32\PnkBstrB.exe',''); QuarantineFile('c:\windows\system32\pnkbstrb.exe',''); DeleteFile('C:\DOCUME~1\CHALLE~1\LOCALS~1\Temp\KOT747.tmp'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end. Выполнить скрипт в AVZ. begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. Профиксь в HijackThis R3 - URLSearchHook: (no name) - - (no file) quarantine.zip из папки AVZ залей на сибнет Повтори логи

lander1 Логи чистые

lander1 Выполнить скрипт в AVZ. begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteService('qydhncqp'); DeleteService('fvdscsi'); DeleteService('fcdabus'); QuarantineFile('C:\WINDOWS\system32\Drivers\qydhncqp.sys',''); QuarantineFile('C:\WINDOWS\system32\DRIVERS\fvdscsi.sys',''); QuarantineFile('C:\WINDOWS\system32\DRIVERS\fcdabus.sys',''); DeleteFile('C:\WINDOWS\system32\DRIVERS\fcdabus.sys'); DeleteFile('C:\WINDOWS\system32\DRIVERS\fvdscsi.sys'); DeleteFile('C:\WINDOWS\system32\Drivers\qydhncqp.sys'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; ExecuteWizard('TSW', 1, 1, true); RebootWindows(true); end. Выполнить скрипт в AVZ. begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. quarantine.zip из папки AVZ залей на сибнет Заново сделать лог AVZ (2й стандартный скрипт AVZ)