коммутатор

[floyd_99]

floyd_99, чисто, как самочуствие компа?

Огроменное спасибо.. Ноут не мой. Но теперь и банера нет и в сеть выходит.Перегрузил раза три--полет нормальный. Еще раз СПАСИБО!

 

[romul781]

Все сделал как вы сказали, вот новый лог http://webfile.ru/4162769 .

Zloy08, Скачать утилитку hijackthis http://www.trendsecure.com/portal/en-US/tools/security_tools/hijackthis/download установите эту программу на диске (отметив I Accept в пользовательском соглашении). Выбрать в ней "Do a system scan and save a logfile" по окончании сканирования появится текстовый файл hijackthis.log Этот файл разместить на файлообменнике

 

[Zloy08]

Вот готово http://webfile.ru/4162938

 

[romul781]

Вот готово http://webfile.ru/4162938

Zloy08,
1.Запустите HijackThis 2. Нажмите кнопку "Do a system scan only" 3.В открывшемся логе сканирования поставить галочки напротив указанных строк

R3 - URLSearchHook: (no name) - - (no file)
O4 - HKCU\..\Run: [LouderIt.exe] C:\Program Files\LouderIt\LouderIt.exe
O4 - HKUS\S-1-5-19\..\RunOnce: [ZZZZ1_FirstLogonSetting] %SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\custom.inf,OnceFirstLogonInstall,0 (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\RunOnce: [ZZZZ1_FirstLogonSetting] %SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\custom.inf,OnceFirstLogonInstall,0 (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\RunOnce: [ZZZZ2_FirstLogonSetting] %SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\custom.inf,NewUserFirstLogonInstall,0 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [ZZZZ2_FirstLogonSetting] %SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\custom.inf,NewUserFirstLogonInstall,0 (User 'Default user')

и нажать кнопку "Fix сhecked".

Запустите снова avz: Файл-Выполнить скрипт- в открывшееся окно внимательно вставьте текст:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 SetServiceStart('PavTPK.sys', 4);
 SetServiceStart('PavSRK.sys', 4);
 DeleteFile('C:\WINDOWS\system32\PavSRK.sys');
 DeleteFile('C:\WINDOWS\system32\PavTPK.sys');
 DeleteService('PavSRK.sys');
 DeleteService('PavTPK.sys');
 BC_ImportAll;
 ExecuteSysClean;
 BC_DeleteFile('C:\WINDOWS\system32\PavTPK.sys');
 BC_DeleteFile('C:\WINDOWS\system32\PavSRK.sys');
BC_Activate;
RebootWindows(true);
end.

затем нажмите "Запустить" ПРОИЗОЙДЕТ ПЕРЕЗАГРУЗКА!!! После перезагрузки выполните в avz стандартный скрипт №2 и пришлите архив virusinfo_syscheck + лог от хайджека

 

[Zloy08]

avz http://webfile.ru/4163116# , Hija http://webfile.ru/4163117#
При работе в AVZ опять выскочила таблица, при нажатии кнопки Fix сhecked открылось белое окно с несколькими пунктами - наверное так и должно быть ? я просто его закрыл...

 

[romul781]

Zloy08, скачайте утилитку http://webfile.ru/3953491 Распакуйте. Запустить программу .После автоматической экспресс-проверки нажать "Scan". После окончания проверки сохранить его лог (нажать на кнопку Save) и через файлообменник выложите сюда.

 

[Zloy08]

вот лог http://webfile.ru/4163280

 

[romul781]

вот лог http://webfile.ru/4163280

Zloy08, прошу прощения за мучения
в меню АВЗ AVZPM-Установить драйвер расширенного мониторинга. перезагрузите компьютер. и повторите стандартный скрипт №3
я не могу выковырять бяку, что-то ее подгружает, а без этого драйвера ее не видно

 

[Zloy08]

вот сделал http://webfile.ru/4163457

 

[romul781]

Zloy08, спасибо за терпение.
Запустите снова avz: Файл-Выполнить скрипт- в открывшееся окно внимательно вставьте текст:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteFile('C:\WINDOWS\system32\PavSRK.sys');
 DeleteFile('C:\WINDOWS\system32\PavTPK.sys');
 DeleteFile('C:\WINDOWS\system32\drivers\av5flt.sys');     
 DeleteService('PavSRK.sys');
 DeleteService('PavTPK.sys');
 DeleteService('AvFlt');     
 BC_ImportAll;
 ExecuteSysClean;
 BC_DeleteFile('C:\WINDOWS\system32\PavTPK.sys');
 BC_DeleteFile('C:\WINDOWS\system32\PavSRK.sys');
 BC_DeleteFile('C:\WINDOWS\system32\drivers\av5flt.sys');     
BC_Activate;
RebootWindows(true);
end.

затем нажмите "Запустить" ПРОИЗОЙДЕТ ПЕРЕЗАГРУЗКА!!! После перезагрузки выполните в avz стандартный скрипт №2 и пришлите архив virusinfo_syscheck

 

[Zloy08]

http://webfile.ru/4163891 перезагрузка прошла нормально

 

[romul781]

http://webfile.ru/4163891

что с проблемой?
еще осталась эта пакость
видимо уже устал . давайте до завтра отложим?

 

[ИванКо]

Помогите цыпанул заразу!! http://exfile.ru/71686

---------- Добавлено в 23:06 ---------- Предыдущее сообщение было написано в 23:03 ----------

Сможешь помочь???? У меня паника!!!!

 

[Zloy08]

Гы-Гы ! Так пакости давно уже нет !))) Я думал что ты ее где-то глубоко в системе видишь..))) Огромное спасибо за помощь ! По логам все чисто у меня ???

 

[Rio_17]

Помогите, я тоже цыпанул заразу!! http://WebFile.ru/4164289
Жду анализ моего лога. Огромная благодарность помогающему в беде!
Я прогонял 3-м скриптом. Написало что востановило 12 каких то фалов.

 

[LetNab]

ИванКо, выполните в AVZ следующий скрипт:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 SetServiceStart('Chtdm642', 4);
 StopService('Chtdm642');
 QuarantineFile('C:\WINDOWS\system32\Drivers\Chtdm642.sys','');
 DeleteFile('70.103.101.103\aekgoprn.dll');
 BC_DeleteFile('\??\C2CAD972#4079#4fd3#A68D#AD34CC121074\b48dadf8.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\dtscsi.sys');
 DeleteFile('C:\WINDOWS\system32\Drivers\Chtdm642.sys');
 BC_DeleteFile('c:\huadio.tmp');
 DeleteFile('C:\WINDOWS\system32\DRIVERS\usbser_lowerflt.sys');
 BC_DeleteFile('C:\WINDOWS\system32\DRIVERS\usbser_lowerflt.sys');
  DeleteFile('C:\Documents and Settings\User\Главное меню\Программы\Автозагрузка\siszyd32.exe');
 DeleteFile('C:\Program Files\BitComet\tools\BitCometBHO_1.3.3.2.dll');
 DeleteFile('res:\C:\Program Files\BitComet\tools\BitCometBHO_1.3.3.2.dll/206');
 DelBHO('{D18A0B52-D63C-4ed0-AFC6-C1E3DC1AF43A}');
 DelBHO('{39F7E362-828A-4B5A-BCAF-5B79BFDFEA60}');
 DeleteService('Chtdm642');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(13);
RebootWindows(true);
end..

Выполните Стандартный скрипт N2 и выложите архив virusinfo_syscheck.zip.

 

[alexsav2010]

тоже поймал "1035"
После сканирования. скрипт-3 http://webfile.ru/4164528
стоит еще чистить?

 

[Johnny Bird]

Вирус никак не удаляется!!!


Вкратце - у вируса было:
sysgif32, siszyd32.exe, ~DFF8AE.tmp и какой-то drivers\...sys - убиваются ледяным мечом и удаляются при загрузке, реклама исчезает и не появляется, но остаются две хрени:

'70.103.101.103\aekgoprn.dll';
'\??\C2CAD972#4079#4fd3#A68D#AD34CC121074\b48dadf8 .sys';

их НИГДЕ НЕТ но они есть во многих процессах!
удалил бы и их - но не знаю откуда они берутся?!?!?! и как их удалить?!?!?!

 

[tybal]

прошу не громко на меня ругаться, но все же:
вылезло у меня окно с этим "заблокированным доступом в интернет".
НОД32 объявил о том, что что-то там нашел и обезвредил - но окно не исчезло.
я перезагрузился.
окно исчезло и пока не появляется.

разрешите пару вопросов:
- может ли вирус этот остаться в компе и как-то навредить?
- может ли он как-либо своровать мои пароли?
- как вылечить заразу?

*если можно, разъясните как-то попонятнее, спасибо

 

[sss]

Здравствуйте, у меня тоже такая проблема по поводу блокировки доступа в сеть по программе file downloader, просят отправить смс на 1350, ну я вообще не знаю, как это удалить, мне не нужна эта программа, пожалуйста помогите кто нибудь...... я уже чуть не плачу...... что мне делать!!!