Показать полную графическую версию : [решено] Не запускается ни дефрагментация ни проверка диска
Возникла похожая ситуация как у ТС в этой ветке http://forum.oszone.net/thread-114622.html - не запускается ни дефрагментация ни проверка диска.
Необходимые логи прикрепил к теме.
Помогите поправить плз.
З.Ы. AVZ скачал новую, а аHijackThis v1.99.1 - по ссылкам указаным на странице http://forum.oszone.net/thread-98169.html AVZ и аHijackThis, CureIT не грузятся!
basken, попробуйте запустить дефрагментацию командой dfrg.msc. Есть ли место на диске?
Ваш компьютер заражен вирусом HideLogon (http://daxa.com.ua/vir/num42).
Пофиксить в HijackThis:
O4 - HKCU\..\Run: [Firewall auto setup] C:\DOCUME~1\1\LOCALS~1\Temp\winlogon.exe
Также похоже, что rpcc.exe - вирус. Такого файла в стандартной ОС нет. Пофиксите:
O4 - HKLM\..\Run: [WindowsHive] C:\WINXP\system32\rpcc.exe
Итак, Вам нужно пофиксить строки:
O4 - HKLM\..\Run: [WindowsHive] C:\WINXP\system32\rpcc.exe
O4 - HKCU\..\Run: [Firewall auto setup] C:\DOCUME~1\1\LOCALS~1\Temp\winlogon.exe
Что значит пофиксить:
Если вас попросили «пофиксить в HijackThis», запустите файл hijackthis.exe, нажмите кнопку "Do a system scan only", в открывшемся окне поставьте галочки напротив указанных строк и нажмите кнопку "Fix Checked".
попробуйте запустить дефрагментацию командой dfrg.msc. Есть ли место на диске? »
Не запускается, место на диске есть ~ 14 GB
O4 - HKLM\..\Run: [WindowsHive] C:\WINXP\system32\rpcc.exe O4 - HKCU\..\Run: [Firewall auto setup] C:\DOCUME~1\1\LOCALS~1\Temp\winlogon.exe »
Пофиксил
Перезагрузил машину, проблема все еще осталась
basken, а как в безопасном режиме? F8 при загрузке и выберите Safe Mode (Безопасный режим)?
basken, здравствуйте.
FlashGet и AskTBar (C:\Program Files\AskTBar) удалите через установку/удаление программ
Запустите AVZ, далее в меню файл - выполнить скрипт, выделите и скопируйте текст ниже в окно выполнения скрипта AVZ, временно выключите антивирус, firewall и другое защитное программное обеспечение (http://www.bleepingcomputer.com/forums/topic114351.html), отключите интернет (или включите временно брандмауэр windows), нажмите кнопку «Запустить».
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Program Files\Ipis\ip_is.exe','');
QuarantineFile('C:\PROGRA~1\NETPRO~1\PAGEPR~1\PAGEPR~1.EXE','');
QuarantineFile('C:\WINXP\system32\cabine.dll','');
QuarantineFile('msansspc.dll','');
QuarantineFile('C:\WINXP\system32\rpcc.exe','');
QuarantineFile('C:\DOCUME~1\1\LOCALS~1\Temp\winlogon.exe','');
QuarantineFile('C:\WINXP\system32\USER32.dll','');
QuarantineFile('C:\Program Files\AskTBar\bar\1.bin\ASKTBAR.DLL','');
DeleteFile('C:\Program Files\AskTBar\bar\1.bin\ASKTBAR.DLL');
DeleteFile('C:\DOCUME~1\1\LOCALS~1\Temp\winlogon.exe');
DeleteFile('C:\WINXP\system32\rpcc.exe');
DeleteFile('msansspc.dll');
DeleteFile('C:\ WINDOWS\system32\msansspc.dll');
DeleteFile('C:\WINXP\system32\cabine.dll');
DelBHO('{0AC8EAFD-3213-491B-AD20-DAF118D55AEA}');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится. После перезагрузки выполнить ещё скрипт
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Файл quarantine.zip отправьте на user15802[at]mail.ru, в письме укажите ссылку на тему
Запустите HijackThis, нажмите кнопку "Do a system scan only", в открывшемся окне поставьте галочки напротив указанных строк и нажмите кнопку "Fix Checked".
R3 - URLSearchHook: (no name) - {3FC0460E-A9D3-40C2-878B-CFA16C6E1262} - (no file)
R3 - URLSearchHook: (no name) - {9CB65206-89C4-402c-BA80-02D8C59F9B1D} - (no file)
R3 - URLSearchHook: (no name) - - (no file)
O2 - BHO: (no name) - {0AC8EAFD-3213-491B-AD20-DAF118D55AEA} - C:\WINXP\system32\cabine.dll (file missing)
O3 - Toolbar: &Page Promoter Bar - {BA5D8DF9-1851-4660-B3AE-89E6E030AC34} - (no file)
O4 - HKLM\..\Run: [WindowsHive] C:\WINXP\system32\rpcc.exe
O4 - HKCU\..\Run: [Firewall auto setup] C:\DOCUME~1\1\LOCALS~1\Temp\winlogon.exe
Скачайте Malwarebytes' Anti-Malware здесь (http://malwarebytes.gt500.org/mbam-setup.exe), здесь (http://www.besttechie.net/mbam/mbam-setup.exe) или здесь (http://www.malwaresupport.com/mbam/program/mbam-setup.exe). Установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - нажмите "Remove Selected" (удалить выделенные). Откройте лог и скопируйте в сообщение.
Повторите логи virusinfo_syscheck.zip (2-ой стандартный скрипт AVZ) и hijackthis
basken, а как в безопасном режиме? F8 при загрузке и выберите Safe Mode (Безопасный режим)? »
В сейфмоде так же грузится
AskTBar (C:\Program Files\AskTBar) »
Не хочет удалятся через установку/удаление программ - ругается, из-за того что были удалены некоторые файлы AVZ c:\program files\asktbar\bar\1.bin\asktbar.dll
В ручную удалить AskTBar, или создать пустые файлы с нужными именами и удалить через установку/удаление программ?
Файл quarantine.zip отправьте на user15802[at]mail.ru, в письме укажите ссылку на тему »
Отправил файл на указаный ящикСкачайте Malwarebytes' Anti-Malware здесь, здесь или здесь. Установите, »
По первым двум ссылкам - файлы скачать нельзя, по последней скачал но не ставится... запустил exe-файл и ничего не происходит. Может есть еще место откуда можно выкачать Malwarebytes ?
Скачайте Malwarebytes' Anti-Malware здесь, здесь или здесь. Установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - нажмите "Remove Selected" (удалить выделенные). Откройте лог и скопируйте в сообщение. »
Установить Malwarebytes не удалось - при запуске ехе не выполняется установка программы(не появляется никаких установочных окон) ((
Новые логи прикрепил, может по ним что то будет видно
basken, C:\WINXP\system32\USER32.dll - Trojan.Win32.Patched.bb по касперскому.
PAGEPR~1.EXE - здесь (http://www.virustotal.com/ru/analisis/20f3c88af74d30221a46fea0cd0fc6db) ушел в вирлаб на исследование., остальные в карантин не попали. C:\PROGRA~1\NETPRO~1\PAGEPR~1\ - рекомендую удалить, если файл окажется чистым, можете потом снова поставить.
С помощью AVPTool и cureit полную проверку системы проводили? Если нет - проверьте. Установочный диск имеется? Выполните восстановление системных файлов Пуск - выполнить - cmd.exe - sfc /scannow потребуется установочный диск, или по крайней мере замените user32.dll на чистый.
AskTBar надо было удалять до скрипта, как было написано в посте по порядку.
Ссылки на Malwarebytes' Anti-Malware проверил - работающие.
basken, C:\WINXP\system32\USER32.dll - Trojan.Win32.Patched.bb по касперскому.
PAGEPR~1.EXE - здесь ушел в вирлаб на исследование., остальные в карантин не попали. C:\PROGRA~1\NETPRO~1\PAGEPR~1\ - рекомендую удалить, если файл окажется чистым, можете потом снова поставить.
С помощью AVPTool и cureit полную проверку системы проводили? Если нет - проверьте. Установочный диск имеется? Выполните восстановление системных файлов Пуск - выполнить - cmd.exe - sfc /scannow потребуется установочный диск, или по крайней мере замените user32.dll на чистый.
AskTBar надо было удалять до скрипта, как было написано в посте по порядку.
Ссылки на Malwarebytes' Anti-Malware проверил - работающие. »
Восстоновил системные файлы
Проверка CureIT обнаружила таких зверей.
tdssqawi.sys c:\winxp\system32\drivers BackDoor.Tdss.29
TDSS5ef5.tmp C:\Documents and Settings\1\Local Settings\Temp Trojan.Starter.896
TDSSkrtj.dll C:\WINXP\system32 BackDoor.Tdss.22
TDSSkvcw.dll C:\WINXP\system32 BackDoor.Tdss.29
TDSSogon.dll C:\WINXP\system32 BackDoor.Tdss.30
TDSSqcie.dll C:\WINXP\system32 BackDoor.Tdss.21
После удаления этих, файлов и перезагрузки начали нормально окрываться ссылки (ранее писал что не открываются ссылки - на Malwarebytes' Anti-Malware, AVZ, аHijackThis, CureIT - теперь стали загружаться нормально. Кстати программа Anti-Malware также установилась нормально (ранее не хотела ставится)!!!)
После проверки AVTTool, еще нашлись
удалено: троянская программа Trojan.Win32.Patched.dy (модификация) Файл: C:\Documents and Settings\1\DoctorWeb\Quarantine\TDSS5ef5.tmp
удалено: троянская программа Packed.Win32.Krap.d Файл: C:\Documents and Settings\1\Local Settings\Temp\TDSS5ea7.tmp
Malwarebytes' Anti-Malware нашла следующие штуки
Заражено ключей реестра:
HKEY_CLASSES_ROOT\CLSID\{147a976f-eee1-4377-8ea7-4716e4cdd239} (Adware.MyWebSearch) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\tdssdata (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\tdss (Trojan.Agent) -> No action taken.
HKEY_CLASSES_ROOT\VideoAXObject.Chl (Trojan.Zlob) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Security Tools (Trojan.Zlob) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WinOpts (Trojan.Downloader) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Video AX Object (Trojan.Zlob) -> No action taken.
Заражено значений реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\bgpinit_dlls (Spyware.Agent.H) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Settings\bf (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Settings\bk (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Settings\iu (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Settings\mu (Trojan.Agent) -> No action taken.
Заражено файлов:
C:\WINXP\system32\TDSSqnsy.dll (Rootkit.Agent) -> No action taken.
C:\WINXP\system32\TDSStsrp.log (Trojan.TDSS) -> No action taken.
Новые логи прицепил.
Pili, огромное спасибо за помощь!!!!
Дефрагментация очистка диска выполняется уже нормально!
Что еще могли эти вирусы сделать кроме блокирования дефрагментации, установки некоторого софта, блокирования определенных веб-страниц? Может они "дыр" наоткрывали в системе, как проверить?
Ребята, посоветуйте какие действия еще необходимо предпринять для снижения возможного заражения машины от всякой "нечести" и повышения её безопасности - ... может порты какие то позакрывать, службы отключить там, софт поставить? Буду благодарен за реккомендации!!!
Ребята, посоветуйте какие действия еще необходимо предпринять для снижения возможного заражения машины от всякой "нечести" и повышения её безопасности - ... может порты какие то позакрывать, службы отключить там, софт поставить? Буду благодарен за реккомендации!!! »
Запустить эту программу для защиты компьютера от USB-вируса (с флешки):
http://www.techsupportforum.com/sectools/sUBs/Flash_Disinfector.exe
При этом автозапуск сменных дисков на Вашем компьютере будет отключен.
basken, по логу МВАМ
No action taken.
т.е. вы не выбрали после сканирования "Remove Selected" (удалить выделенные)
Запустите сканирование ещё раз и удалите всё найденное.
C:\WINDOWS\System32\drivers\dwshd.sys - проверьте на virustotal.com или virscan.org, рез-ты проверки скопируйте в сообщение или дайте ссылку.
Скачайте SDFix (http://downloads.andymanchesta.com/RemovalTools/SDFix.exe), загрузитесь в безопасном режиме, запустите утилиту (запустить RunThis.bat - подтвердить, нажав "Y"), после окончания сканирования скопируйте (Ctrl+A, Ctrlv+C) текст из C:\Report.txt и вставьте (Ctrl+V) в следующее сообщение, если текст не уместится в одном сообщении, продолжите его в следующем или запакуйте файл C:\Report.txt и прикрепите к сообщению
Описание SDFix есть здесь (http://www.saule-spb.ru/library/sdfix.html) или здесь (http://www.spyware-ru.com/sdfix/)
Скачайте ComboFix здесь (http://subs.geekstogo.com/ComboFix.exe), здесь (http://download.bleepingcomputer.com/sUBs/ComboFix.exe) или здесь (http://www.forospyware.com/sUBs/ComboFix.exe) и сохраните на рабочий стол.
Можете установить Recovery Console по инструкции (на англ.яз) - how-to-use-combofix (http://www.bleepingcomputer.com/combofix/how-to-use-combofix) и здесь (http://support.microsoft.com/kb/310994) - скачайте установочный файл для своей ОС (например Windows XP с пакетом обновления 2 (SP2) (http://support.microsoft.com/kb/310994#) - для Windows XP SP3 использовать также этот файл) на рабочий стол, закройте все остальные приложения и мышкой перенесите установочный файл на иконку ComboFix, подтвердите лицензионное соглашение и установите Microsoft Recovery Console. Доп. см. Программа для Windows XP Professional с пакетом обновления 2 (SP2): Установочные диски для установки с гибкого диска (http://www.microsoft.com/downloads/details.aspx?displaylang=ru&FamilyID=535d248d-5e10-49b5-b80c-0a0205368124)
1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение (http://www.bleepingcomputer.com/forums/topic114351.html). Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте (Ctrl+A, Ctrlv+C) текст из C:\ComboFix.txt и вставьте (Ctrl+V) в следующее сообщение если текст не уместится в одном сообщении, продолжите его в следующем или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению
Как использовать ComboFix - how-to-use-combofix (http://www.bleepingcomputer.com/combofix/how-to-use-combofix) (на англ.яз.) и здесь (http://www.spyware-ru.com/combofix/)
Checking not performed: extended monitoring driver (AVZPM) is not installed
Запустите AVZ. В меню AVZM выберите «установить драйвер расширенного мониторинга процессов», перезагрузите компьютер и сделайте новый лог virusinfo_syscheck.zip (2-ой стандартный скрипт AVZ)
C:\WINDOWS\System32\drivers\dwshd.sys - проверьте на virustotal.com или virscan.org, рез-ты проверки скопируйте в сообщение или дайте ссылку. »
Такого файла и пути на моей машине нету.
Лог файл SDFix и AVZ (с расширенным мониторингом процессов) прикрепил.
Нашел несколько подозрительных файлов
C:\WINXP\system32\adj.j
C:\WINXP\system32\e.spa
C:\WINXP\system32\devh.e2
C:\WINXP\system32\rdxz.e
Отправил их на проверку
http://www.virustotal.com/analisis/6798bd9d77f93ed9f6d1c45634689ce1
http://www.virustotal.com/analisis/4ff8a3282dea74eebf0ac67032cd6e84
http://www.virustotal.com/analisis/535142574c8f7e1d3b681f4b345d67a9
http://www.virustotal.com/analisis/63d5f741a70d5806b11efb0a95522c08
Проверка показала что файлы с вирусами, подскажите как их правильно удалить?
basken, не хватает нового лога MBAM
Запустите Malwarebytes' Anti-Malware обновите базы, выберите Perform Full Scan (Провести полную проверку), нажмите Scan (Проверить), после сканирования выберите Ок и далее Show Results (Показать результаты), нажмите "Remove Selected" (Удалить выделенные). После удаления откройте лог и скопируйте в сообщение. Логи сканирования можно посмотреть во вкладке Logs (Отчеты), выбрав отчет и нажав кнопку Open (Открыть).
Cделайте логи ComboFix
Log Malwarebytes' Anti-Malware
Malwarebytes' Anti-Malware 1.31
Версия базы данных: 1511
Windows 5.1.2600 Service Pack 2
17.12.2008 16:57:59
mbam-log-2008-12-17 (16-57-59).txt
Тип проверки: Полная (C:\|)
Проверено объектов: 209932
Прошло времени: 56 minute(s), 44 second(s)
Заражено процессов в памяти: 0
Заражено модулей в памяти: 0
Заражено ключей реестра: 2
Заражено значений реестра: 0
Заражено параметров реестра: 0
Заражено папок: 0
Заражено файлов: 1
Заражено процессов в памяти:
(Вредоносные программы не обнаружены)
Заражено модулей в памяти:
(Вредоносные программы не обнаружены)
Заражено ключей реестра:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\utixmje3 (Worm.Bagel) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\utixmje3 (Worm.Bagel) -> Quarantined and deleted successfully.
Заражено значений реестра:
(Вредоносные программы не обнаружены)
Заражено параметров реестра:
(Вредоносные программы не обнаружены)
Заражено папок:
(Вредоносные программы не обнаружены)
Заражено файлов:
C:\WINXP\system32\drivers\utixmje3.sys (Worm.Bagel) -> Quarantined and deleted successfully.
Pili, файлы удалить?
Нашел несколько подозрительных файлов
C:\WINXP\system32\adj.j
C:\WINXP\system32\e.spa
C:\WINXP\system32\devh.e2
C:\WINXP\system32\rdxz.e
Отправил их на проверку
http://www.virustotal.com/analisis/6...d1c45634689ce1
http://www.virustotal.com/analisis/4...0ac67032cd6e84
http://www.virustotal.com/analisis/5...681f4b345d67a9
http://www.virustotal.com/analisis/6...1efb0a95522c08
Проверка показала что файлы с вирусами, подскажите как их правильно удалить? »
Pili, Логи ComboFix не делал так как не помню где лежит лицензия на винду - комп покупался уже с установленной, то подозреваю что могут возникнут проблемы при работе с ComboFix (требуется подтверждение лицензионного соглашения).
файлы удалить? »
Удалим с помощью ComboFix, когда логи будут.Логи ComboFix не делал так как не помню где лежит лицензия на винду - комп покупался уже с установленной, то подозреваю что могут возникнут проблемы при работе с ComboFix (требуется подтверждение лицензионного соглашения). »
Подтверждение лицензионного соглашения связано с установкой консоли восстановления и отношения к легальности или активации windows не имеет.
pili, Спасибо что просветили... - переживал за систему Подтверждение лицензионного соглашения связано с установкой консоли восстановления и отношения к легальности или активации windows не имеет. »
Запустил ComboFix, логи прицепил
basken, Проверьте файлы
D:\AllSubmitter\privet.exe
C:\WINXP\system32\vsx13.exe
C:\WINXP\wj.exe
C:\WINXP\system32\msntd0.exe
C:\WINXP\system32\mssql0.exe
c:\winxp\system32\dllcache\digiview.exe
c:\program files\Ipis\ip_is.exe
на virustotal.com, результат сообщите
82.144.192.130,82.144.192.191,82.144.192.32 - ваши DNS сервера?
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
временно выключите антивирус, firewall и другое защитное программное обеспечение (http://www.bleepingcomputer.com/forums/topic114351.html)
File::
c:\winxp\system32\rdxz.e
c:\winxp\system32\devh.e2
c:\winxp\system32\e.spa
c:\winxp\system32\adj.j
c:\winxp\QTFont.qfn
c:\winxp\QTFont.for
C:\Documents and Settings\1\Local Settings\Temp\winlogon.exe
Registry::
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standard profile\authorizedapplications\list]
"C:\\WINXP\\system32\\vsx13.exe"=-
"C:\\Documents and Settings\\1\\Local Settings\\Temp\\winlogon.exe"=-
"C:\\WINXP\\wj.exe"=-
"C:\\DOCUME~1\\1\\LOCALS~1\\Temp\\start.exe"=-
"C:\\WINXP\\system32\\msntd0.exe"=-
"D:\\AllSubmitter\\privet.exe"=-
"C:\\WINXP\\system32\\mssql0.exe"=-
FileLook::
D:\AllSubmitter\privet.exe
C:\WINXP\system32\vsx13.exe
C:\WINXP\wj.exe
C:\WINXP\system32\msntd0.exe
C:\WINXP\system32\mssql0.exe
c:\winxp\system32\dllcache\digiview.exe
c:\program files\Ipis\ip_is.exe
DirLook::
c:\program files\DIFX
c:\documents and settings\1\Application Data\U3
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
http://virusnet.info/images/CFScript.gif
Когда сохранится новый отчет ComboFix, скопируйте (Ctrl+A, Ctrl+C) текст из C:\ComboFix.txt и вставьте (Ctrl+V) в следующее сообщение если текст не уместится в одном сообщении, продолжите его в следующем или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению
Сделайте новый лог Hijackthis.
Проверьте файлы
Цитата:
D:\AllSubmitter\privet.exe
C:\WINXP\system32\vsx13.exe
C:\WINXP\wj.exe
C:\WINXP\system32\msntd0.exe
C:\WINXP\system32\mssql0.exe
c:\winxp\system32\dllcache\digiview.exe
c:\program files\Ipis\ip_is.exe
на virustotal.com, результат сообщите »
По этим путям только один файл нашел - digiview.exe, остальные отсутствуют
Отправил его на virustotal.com - вроде чистый - http://www.virustotal.com/analisis/7704665363fe6e4976b4106f020e43d5
82.144.192.130,82.144.192.191,82.144.192.32 - ваши DNS сервера? »
DNS не мои
Новые логи прикрепил.
Pili, ComboFix - нужно удалять?
© OSzone.net 2001-2012
vBulletin v3.6.4, Copyright ©2000-2025, Jelsoft Enterprises Ltd.
Available in ZeroNet 1osznRoVratMCN3bFoFpR2pSV5c9z6sTC