Помогите
san62
Удален 6/14/2010, 3:51:33 PM
читал новостную страничку вспыло окно "кто хочет стать миллионером",при закрытии оного перекинуло на другой сайт и сразуже появилось сообщение ,что мол пришли бабок по смс или комп глючить будет . Я не послал а комп теперь тормозит. Поставил Др.Веб он пот чистил кое что ,но проблема осталась. И неработает восстановление системы.На момент заражения создана контр. точка, позднее её не перейти. мМожет кто что посоветует пожалуйста.
Vertigo
Мастер
6/14/2010, 4:41:48 PM
https://sxn.io/index.php?showtopic=226954
Оба пункта сделайте и логи сюда.
Оба пункта сделайте и логи сюда.
Алексеев
Мастер
6/14/2010, 7:15:51 PM
(san62 @ 14.06.2010 - время: 11:51) На момент заражения создана контр. точка, позднее её не перейти.
Эмм... я бы все-таки посоветовал выбрать не позднее, а таки раньше.
А так - согласен с предыдущим оратором. Делайте логи, получите в ответ персональный скрипт для лечения персонально вашего персонального вируса.
Нет, конечно вы можете накачать кучу антивирусов, наудалять чего-нибудь наугад, помолиться и даже отформатировать винт... дело ваше. Но вышеописаный способ таки проще ツ
Эмм... я бы все-таки посоветовал выбрать не позднее, а таки раньше.
А так - согласен с предыдущим оратором. Делайте логи, получите в ответ персональный скрипт для лечения персонально вашего персонального вируса.
Нет, конечно вы можете накачать кучу антивирусов, наудалять чего-нибудь наугад, помолиться и даже отформатировать винт... дело ваше. Но вышеописаный способ таки проще ツ
Vertigo
Мастер
6/14/2010, 7:25:58 PM
Эмм... я бы все-таки посоветовал выбрать не позднее, а таки раньше.
Он наверное и имел в виду раньше.
Он наверное и имел в виду раньше.
san62
Удален 6/15/2010, 11:38:02 PM
скрытый текст
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:21:51, on 15.06.2010
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Common Files\Doctor Web\Scanning Engine\dwengine.exe
C:\WINDOWS\ATKKBService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Canon\CAL\CALMAIN.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\Common Files\Doctor Web\Scanning Engine\dwengine.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
O4 - Startup: sisxvy32.exe
O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Program Files\Canon\CAL\CALMAIN.exe
O23 - Service: Dr.Web Scanning Engine (DrWebEngine) (DrWebEngine) - Doctor Web, Ltd. - C:\Program Files\Common Files\Doctor Web\Scanning Engine\dwengine.exe
O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe
O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS\system32\imapi.exe
O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINDOWS\system32\mnmsrvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe
O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS\system32\wbem\wmiapsrv.exe
--
End of file - 2683 bytes
Scan saved at 19:21:51, on 15.06.2010
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Common Files\Doctor Web\Scanning Engine\dwengine.exe
C:\WINDOWS\ATKKBService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Canon\CAL\CALMAIN.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\Common Files\Doctor Web\Scanning Engine\dwengine.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
O4 - Startup: sisxvy32.exe
O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Program Files\Canon\CAL\CALMAIN.exe
O23 - Service: Dr.Web Scanning Engine (DrWebEngine) (DrWebEngine) - Doctor Web, Ltd. - C:\Program Files\Common Files\Doctor Web\Scanning Engine\dwengine.exe
O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe
O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS\system32\imapi.exe
O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINDOWS\system32\mnmsrvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe
O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS\system32\wbem\wmiapsrv.exe
--
End of file - 2683 bytes
DELETED
Акула пера
6/15/2010, 11:59:37 PM
Висит. HiJack'ом фиксить бесполезно. AVZ.
Vertigo
Мастер
6/16/2010, 12:02:36 AM
Fix checked:
CODE O4 - Startup: sisxvy32.exe
Где логи avz?
ПС: Не успел ответить =/
CODE O4 - Startup: sisxvy32.exe
Где логи avz?
ПС: Не успел ответить =/
san62
Удален 6/16/2010, 12:03:43 AM
san62
Удален 6/16/2010, 12:06:20 AM
я ещё только учюсь поэтому торможу ,прошу прощения.
Vertigo
Мастер
6/16/2010, 12:17:21 AM
Выполните скрипт в АВЗ:
CODE begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
DeleteFile('C:\Documents and Settings\Алексей\Главное меню\Программы\Автозагрузка\sisxvy32.exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
И повторные логи.
CODE begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
DeleteFile('C:\Documents and Settings\Алексей\Главное меню\Программы\Автозагрузка\sisxvy32.exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
И повторные логи.
Алексеев
Мастер
6/16/2010, 12:31:51 AM
Таки я бы ещё грохнул драйвера PDCOMP.sys, PDFRAME.sys, PDRELI.sys и PDRFRAME.sys. Какие-то они подозрительные...
san62
Удален 6/16/2010, 12:38:31 AM
Пожалуйста опиши попонятнее как это сделать. Типо инструкции для чайника
DELETED
Акула пера
6/16/2010, 1:16:15 AM
(san62 @ 15.06.2010 - время: 20:38) Пожалуйста опиши попонятнее как это сделать. Типо инструкции для чайника
Графическая инструкция
Графическая инструкция
san62
Удален 6/16/2010, 1:26:49 AM
(JeyLo @ 15.06.2010 - время: 21:16) (san62 @ 15.06.2010 - время: 20:38) Пожалуйста опиши попонятнее как это сделать. Типо инструкции для чайника
Графическая инструкция
ОК это я понял, но Вертиго просил сделать конкретные действия с одним файлом,найти проверить и удалить . Как это сделать?
Графическая инструкция
ОК это я понял, но Вертиго просил сделать конкретные действия с одним файлом,найти проверить и удалить . Как это сделать?
Алексеев
Мастер
6/16/2010, 1:48:47 AM
(san62 @ 15.06.2010 - время: 21:26)Как это сделать?
Через avz ツ Просто выполните скрипт, и все сделается само. Возьму на себя смелость немного подкорректировать:
begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
DeleteFile('C:\Documents and Settings\Алексей\Главное меню\Программы\Автозагрузка\sisxvy32.exe');
StopService('C:\WINDOWS\System32\Drivers\PDCOMP.sys ');
StopService('C:\WINDOWS\System32\Drivers\PDRELI.sys ');
StopService('C:\WINDOWS\System32\Drivers\PDFRAME.sys ');
StopService('C:\WINDOWS\System32\Drivers\PDRFRAME.sys ');
DeleteService('C:\WINDOWS\System32\Drivers\PDCOMP.sys ',true);
DeleteService('C:\WINDOWS\System32\Drivers\PDFRAME.sys ',true);
DeleteService('C:\WINDOWS\System32\Drivers\PDRELI.sys ',true);
DeleteService('C:\WINDOWS\System32\Drivers\PDRFRAME.sys ',true);
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Кто считает, что эти дрова полезны, пусть первый кинет в меня тапком ツ
Через avz ツ Просто выполните скрипт, и все сделается само. Возьму на себя смелость немного подкорректировать:
скрытый текст
begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
DeleteFile('C:\Documents and Settings\Алексей\Главное меню\Программы\Автозагрузка\sisxvy32.exe');
StopService('C:\WINDOWS\System32\Drivers\PDCOMP.sys ');
StopService('C:\WINDOWS\System32\Drivers\PDRELI.sys ');
StopService('C:\WINDOWS\System32\Drivers\PDFRAME.sys ');
StopService('C:\WINDOWS\System32\Drivers\PDRFRAME.sys ');
DeleteService('C:\WINDOWS\System32\Drivers\PDCOMP.sys ',true);
DeleteService('C:\WINDOWS\System32\Drivers\PDFRAME.sys ',true);
DeleteService('C:\WINDOWS\System32\Drivers\PDRELI.sys ',true);
DeleteService('C:\WINDOWS\System32\Drivers\PDRFRAME.sys ',true);
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Кто считает, что эти дрова полезны, пусть первый кинет в меня тапком ツ
Vertigo
Мастер
6/16/2010, 1:52:44 AM
Файл-выполнить скрипт-вставьте этот текст:
CODE begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
QuarantineFile('PDRFRAME.sys','');
QuarantineFile('PDRELI.sys','');
QuarantineFile('PDFRAME.sys','');
QuarantineFile('PDCOMP.sys','');
DeleteFile('C:\Documents and Settings\Алексей\Главное меню\Программы\Автозагрузка\sisxvy32.exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Нажмите "запустить".
И выложите повторные логи и карантин.
Или тот, что Т-кварк выложил, тогда карантин не надо.
CODE begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
QuarantineFile('PDRFRAME.sys','');
QuarantineFile('PDRELI.sys','');
QuarantineFile('PDFRAME.sys','');
QuarantineFile('PDCOMP.sys','');
DeleteFile('C:\Documents and Settings\Алексей\Главное меню\Программы\Автозагрузка\sisxvy32.exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Нажмите "запустить".
И выложите повторные логи и карантин.
Или тот, что Т-кварк выложил, тогда карантин не надо.
san62
Удален 6/17/2010, 12:10:37 AM
DELETED
Акула пера
6/17/2010, 12:20:31 AM
HiJackThis найдите и пофиксите AppInit_DLLs: wbsys.dll.
И все. Чисто.
И все. Чисто.
san62
Удален 6/17/2010, 12:39:04 AM
скрытый текст
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:35:54, on 16.06.2010
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Common Files\Doctor Web\Scanning Engine\dwengine.exe
C:\WINDOWS\ATKKBService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Canon\CAL\CALMAIN.exe
C:\Program Files\Common Files\Doctor Web\Scanning Engine\dwengine.exe
C:\Program Files\DrWeb\spideragent.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.mail.ru/
O4 - HKLM\..\Run: RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKCU\..\Run: C:\WINDOWS\system32\ctfmon.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{FB317BC8-2E1B-43F5-96DC-BC3195469357}: NameServer = 213.158.7.2 212.48.193.36
O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Program Files\Canon\CAL\CALMAIN.exe
O23 - Service: Dr.Web Scanning Engine (DrWebEngine) (DrWebEngine) - Doctor Web, Ltd. - C:\Program Files\Common Files\Doctor Web\Scanning Engine\dwengine.exe
O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe
O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS\system32\imapi.exe
O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINDOWS\system32\mnmsrvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe
O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS\system32\wbem\wmiapsrv.exe
--
End of file - 2933 bytes
san62
Удален 6/17/2010, 1:07:52 AM
восстановление системы так и неработает, пропали все значки с панели, половина функций др.вэба отключилась . Как это исправить?