AMD готовит Super RV770

[romul781]

Southpaw, есть еще работка. один момент.

---------- Добавлено в 16:02 ---------- Предыдущее сообщение было написано в 15:56 ----------

Southpaw, 1.Запустите HijackThis 2. Нажмите кнопку "Do a system scan only" 3.В открывшемся логе сканирования поставить галочки напротив указанных строк

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.myheritage.com
O4 - HKUS\S-1-5-19\..\RunOnce: [ZZZZ1_FirstLogonSetting] %SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\custom.inf,OnceFirstLogonInstall,0 (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\RunOnce: [ZZZZ1_FirstLogonSetting] %SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\custom.inf,OnceFirstLogonInstall,0 (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\RunOnce: [ZZZZ2_FirstLogonSetting] %SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\custom.inf,NewUserFirstLogonInstall,0 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [ZZZZ2_FirstLogonSetting] %SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\custom.inf,NewUserFirstLogonInstall,0 (User 'Default user')
O9 - Extra button: Microsoft Knowledge Base - {8B2D996F-B7D1-4961-A929-414D9CF5BA7B} - http://support.microsoft.com/default.aspx?scid=FH;EN-US;KBHOWTO (file missing)
O9 - Extra 'Tools' menuitem: Microsoft Knowledge Base - {8B2D996F-B7D1-4961-A929-414D9CF5BA7B} - http://support.microsoft.com/default.aspx?scid=FH;EN-US;KBHOWTO (file missing)

и нажать кнопку "Fix сhecked".

Запустите снова avz: Файл-Выполнить скрипт- в открывшееся окно внимательно вставьте текст:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 DeleteFile('http:\support.microsoft.com/default.aspx?scid=FH;EN-US;KBHOWTO');
 DelBHO('{8B2D996F-B7D1-4961-A929-414D9CF5BA7B}');
 DelBHO('{92780B25-18CC-41C8-B9BE-3C9C571A8263}');
 BC_ImportALL;
 ExecuteSysClean;
 BC_Activate;
 ExecuteWizard('TSW', 2, 2, true);
 ExecuteWizard('SCU', 2, 2, true);
 RebootWindows(true);
end.

затем нажмите "Запустить" ПРОИЗОЙДЕТ ПЕРЕЗАГРУЗКА!!! После перезагрузки выполните в avz стандартный скрипт №2 и пришлите архив virusinfo_syscheck.zip + лог хайджека

 

[Southpaw]

romul781, ничего себе поправок добавлено
выполнил, все в архиве тут http://exfile.ru/77385

 

[Eschestowa]

Добрый день.
С помощью LiveCD от Drweb пролечила компьютер от eKav. После перезагрузки баннер больше не появлялся, но проблемы остались (не запускались антивирусы, авз, диспетчер задач, командная строка и т.д.). После второй попытки запустить авз компьютер снова перезагрузился, и теперь, кажется, запускается все. Но боюсь,что так до конца и не истребила заразу. Проверьте, пожалуйста.
Лог авз virusinfo_syscure.zip:
http://webfile.ru/4227347

 

[romul781]

Eschestowa, как все запущено
сперва выполняем это: скачайте этот файл http://exfile.ru/74372 и распакуйте его. Затем запустите. После выполнения перезагрузитесь (В папке с распакованной утилиткой появится файл drv.sys Этот файл поместите в архив и пришлите). Затем выполняем в avz http://pchelpforum.ru/f26/t6442/#post37758 стандартный скрипт №2 и присылаем архив virusinfo_syscheck.zip

---------- Добавлено в 16:49 ---------- Предыдущее сообщение было написано в 16:47 ----------

+ лог от программы хайджек

 

[Eschestowa]

Готово

drv.rar - http://webfile.ru/4227484
virusinfo_syscheck.zip - http://webfile.ru/4227491
hijackthis.log - http://webfile.ru/4227497

 

[romul781]

Eschestowa, 1.Запустите HijackThis 2. Нажмите кнопку "Do a system scan only" 3.В открывшемся логе сканирования поставить галочки напротив указанных строк

R3 - URLSearchHook: (no name) - - (no file)
F2 - REG:system.ini: Shell=Explorer.exe csrcs.exe
O4 - HKLM\..\Run: [Microsoft(R) System Manager] D:\WINDOWS\system32\fac7d7.exe
O4 - HKLM\..\RunServices: [csrcs] D:\WINDOWS\system32\csrcs.exe
O4 - HKLM\..\Policies\Explorer\Run: [csrcs] D:\WINDOWS\system32\csrcs.exe
O9 - Extra button: ICQ Lite - {E59EB121-F339-4851-A3BA-FE49C35617C2} - ICQ.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {E59EB121-F339-4851-A3BA-FE49C35617C2} - ICQ.exe (file missing)

и нажать кнопку "Fix сhecked".

Запустите снова avz: Файл-Выполнить скрипт- в открывшееся окно внимательно вставьте текст:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 TerminateProcessByName('d:\windows\system32\fac7d7.exe');
 TerminateProcessByName('d:\windows\system32\csrcs.exe');
 DeleteFile('d:\windows\system32\csrcs.exe');
 DeleteFile('d:\windows\system32\fac7d7.exe');
 DeleteFile('D:\WINDOWS\system32\csrcs.exe');
 DeleteFile('D:\WINDOWS\system32\fac7d7.exe');
 DeleteFile('Explorer.exe csrcs.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','csrcs');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft(R) System Manager');
 BC_ImportALL;
 ExecuteSysClean;
 BC_Activate;
 ExecuteRepair(6);
 ExecuteRepair(16 );  
 RebootWindows(true);
end.

затем нажмите "Запустить" ПРОИЗОЙДЕТ ПЕРЕЗАГРУЗКА!!! После перезагрузки выполните в avz стандартный скрипт №2 и пришлите архив virusinfo_syscheck.zip + лог хайджека

 

[Eschestowa]

ОК

hijackthis.log - http://webfile.ru/4227594
virusinfo_syscheck.zip - http://webfile.ru/4227598

 

[01pump]

Eschestowa,
Вы сможете через LiveCD заменить у себя один драйвер в системной папке :Windows\system32\drivers\ ?
Я укажу какой и чем его заменить.

 

[Eschestowa]

Э-э-э... смогу наверное, там что-то вроде Norton commander есть.

 

[01pump]

Э-э-э... смогу наверное, там что-то вроде Norton commander есть.

Через дрвебовский диск или через этот http://exfile.ru/file/74614 вам надо заменить файл
raspppoe.sys лежащий в папке :Windows\system32\drivers\ вот на этот http://exfile.ru/77430 (удалив ваш старый файл). После этого перезагрузитесь и сделайте стандартный скрипт №2 (virusinfo_syscheck.zip) и лог в hijackthis

 

[Eschestowa]

virusinfo_syscheck.zip - http://webfile.ru/4227751
hijackthis.log - http://webfile.ru/4227754

 

[01pump]

Eschestowa,

Пофиксите в hijackthis строку

F2 - REG:system.ini: UserInit=\\.\globalroot\systemroot\system32\userinit.exe

После чего перезагрузитесь и выполните ноый лог hijackthis

 

[Eschestowa]

Я очень медленный газ... прошу прощения, случились некоторые дела.
http://webfile.ru/4228641

 

[01pump]

Я очень медленный газ... прошу прощения, случились некоторые дела.
http://webfile.ru/4228641

Ну как там самочуйствие компа?
Вы файлик успешно заменили?

 

[Eschestowa]

Файлик заменила. С компом вроде все в порядке, живой и светится.
Спасибо Вам, добрый человек.

 

[Southpaw]

И снова всем привет, очередной нетривиальный случай, все вылечил, тел вроде как нет, не могу в хайджеке последние записи убить, на пк две учетные записи, и при входе в каждую появляется системная ошибка о невозможности запуска объекта - тела вируса, причем под каждой учеткой ссылается на разное тело. Всяко прошу о помощи.

Логи по обеим учеткам в одном архиве тут http://exfile.ru/78322

 

[01pump]

Southpaw,

есть что удалять

скрипты пишем

по первой машине (сисчек №1) выполнить следующее

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('mptfftqe');
DeleteService('xco4ouqfd5');
DeleteService('winsecguard');
DeleteFile('C:\WINDOWS\Fonts\zpx2.exe');
DeleteFile('C:\Documents and Settings\Компьютер\Application Data\Microsoft\zoodiwud.exe');
DeleteFile('C:\WINDOWS\System32\Drivers\mptfftqe.sys');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1455\fresdg.exe,explorer.exe C:\Documents and Settings\Компьютер\axntsec.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\win32.exe');
DelCLSID('{28ABC5C0-4FCB-11CF-AAX5-81CX1C635612}');
ExecuteSysClean;
RebootWindows(true);
end.

почле перезагрузки комплект логов выполнить

 

[01pump]

Southpaw,

для второй машины

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('mptfftqe');
DeleteService('xco4ouqfd5');
DeleteService('winsecguard');
DeleteFile('C:\WINDOWS\Fonts\zpx2.exe');
DeleteFile('C:\Documents and Settings\Компьютер\Application Data\Microsoft\zoodiwud.exe');
DeleteFile('C:\WINDOWS\System32\Drivers\mptfftqe.sys');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1455\fresdg.exe,explorer.exe C:\Documents and Settings\Компьютер\axntsec.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1455\fresdg.exe,explorer.exe C:\Documents and Settings\Марина\vnx.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\win32.exe');
DelCLSID('{28ABC5C0-4FCB-11CF-AAX5-81CX1C635612}');
ExecuteSysClean;
RebootWindows(true);
end.

 

[lira]

Всем привет! У меня такая же зараза. Проблема осложнена тем, что CD-привод не работает. Можно ли добыть где-то LiveCD - для флэшки?

 

[01pump]

lira,
Опишите проблему подробнее. У вас avz и hijackthis запускаются?

Попробую для флешки вам подготовить

Отсюда http://pchelpforum.ru/f26/t6442/#post69244 со второй ссылке скачайте LiveCD . Как скачаете её - распакуйте в любую папку. Там должен быть файл Boot.img
Этот файл в отдельную папку скопируйте. В эту же папочку извлеките файлы из этого архива http://exfile.ru/80826


После чего отформатируйте флешку этой утилиткой http://exfile.ru/80827 (не забудьте её распаковать!! ) Отформатируйте сначала флеху в FAT32 затем в NTFS .
После чего на флеху скопируйте файл Boot.img и те 4 файлика из архива.

Теперь вам остаётся только в БИОС выставить приоритет загрузки с флеш . И далее грузитесь с неё и выполняйте процедуру лечения.