02.05.2010, 13:08 | #1 (ссылка) |
Новичок
Регистрация: 02.05.2010
Сообщений: 34
Репутация: 0
|
Ошибка при загрузке thxr.wgo
RUNDLL
Ошибка при загрузке thxr.wgo Не найден указанный модуль При загрузке компьютера постоянно появляется данное сообщение. Ссылка на virusinfo_syscure.zip: http://exfile.ru/98206 Хотя после сбора информации - скрипт 3 и последующей перезагрузке, сообщение не появилось. |
02.05.2010, 13:17 | #2 (ссылка) | |
Заблокирован
Стажёр
Регистрация: 25.02.2010
Сообщений: 906
Репутация: 79
|
Цитата:
|
|
02.05.2010, 13:21 | #3 (ссылка) |
Новичок
Регистрация: 02.05.2010
Сообщений: 34
Репутация: 0
|
http://exfile.ru/98210 - HiJack
|
02.05.2010, 13:27 | #4 (ссылка) |
Заблокирован
Стажёр
Регистрация: 25.02.2010
Сообщений: 906
Репутация: 79
|
Пока буду писать скрипт для начала пофиксите это:
Код:
R3 - URLSearchHook: (no name) - - (no file) F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\6f57da90.exe,\\?\globalroot\systemroot\system32\DtaEfja.exe,\\?\globalroot\systemroot\system32\BrSLuu4.exe,\\?\globalroot\systemroot\system32\uzEg7V1.exe,\\?\globalroot\systemroot\system32\4ptqLK3.exe,\\?\globalroot\systemroot\system32\0LDgyo9.exe,\\?\globalroot\systemroot\system32\qiDXXcB.exe,\\?\globalroot\systemroot\system32\eUEcjgp.exe,\\?\globalroot\systemroot\system32\mjErtkz.exe,\\?\globalroot\systemroot\system32\NthzXxM.exe,\\?\globalroot\systemroot\system32\eTpyvbS.exe,\\?\globalroot\systemroot\system32\2Fae3Jx.exe,\\?\globalroot\systemroot\system32\Z0EPDlM.exe, O4 - HKLM\..\Run: [kernel] C:\WINDOWS\winlogon.exe Последний раз редактировалось help?; 02.05.2010 в 13:42. |
02.05.2010, 13:56 | #6 (ссылка) |
Заблокирован
Стажёр
Регистрация: 25.02.2010
Сообщений: 906
Репутация: 79
|
Выполните скрипт в авз:
Код:
begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('\\?\globalroot\systemroot\system32\Z0EPDlM.exe',''); DeleteFile('\\?\globalroot\systemroot\system32\Z0EPDlM.exe'); QuarantineFile('\\?\globalroot\systemroot\system32\2Fae3Jx.exe',''); DeleteFile('\\?\globalroot\systemroot\system32\2Fae3Jx.exe'); QuarantineFile('\\?\globalroot\systemroot\system32\eTpyvbS.exe',''); DeleteFile('\\?\globalroot\systemroot\system32\eTpyvbS.exe'); QuarantineFile('\\?\globalroot\systemroot\system32\NthzXxM.exe',''); DeleteFile('\\?\globalroot\systemroot\system32\NthzXxM.exe'); QuarantineFile('\\?\globalroot\systemroot\system32\mjErtkz.exe',''); DeleteFile('\\?\globalroot\systemroot\system32\mjErtkz.exe'); QuarantineFile('\\?\globalroot\systemroot\system32\eUEcjgp.exe',''); DeleteFile('\\?\globalroot\systemroot\system32\eUEcjgp.exe'); QuarantineFile('\\?\globalroot\systemroot\system32\qiDXXcB.exe',''); DeleteFile('\\?\globalroot\systemroot\system32\qiDXXcB.exe'); QuarantineFile('\\?\globalroot\systemroot\system32\0LDgyo9.exe',''); QuarantineFile('\\?\globalroot\systemroot\system32\4ptqLK3.exe',''); DeleteFile('\\?\globalroot\systemroot\system32\4ptqLK3.exe'); QuarantineFile('\\?\globalroot\systemroot\system32\uzEg7V1.exe',''); DeleteFile('\\?\globalroot\systemroot\system32\uzEg7V1.exe'); QuarantineFile('\\?\globalroot\systemroot\system32\BrSLuu4.exe',''); DeleteFile('\\?\globalroot\systemroot\system32\BrSLuu4.exe'); QuarantineFile('\\?\globalroot\systemroot\system32\DtaEfja.exe',''); DeleteFile('\\?\globalroot\systemroot\system32\DtaEfja.exe'); QuarantineFile('ResLuComServer_3_3.DLL',''); QuarantineFile('C:\WINDOWS\winlogon.exe',''); QuarantineFile('C:\WINDOWS\system32\6f57da90.exe',''); QuarantineFile('C:\WINDOWS\system32\ATL71.DLL',''); QuarantineFile('C:\WINDOWS\system32\kernel.dll',''); DeleteFile('C:\WINDOWS\system32\6f57da90.exe'); DeleteFile('C:\WINDOWS\winlogon.exe'); DeleteFile('\\?\globalroot\systemroot\system32\0LDgyo9.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','kernel'); BC_ImportAll; ExecuteSysClean; BC_QrFile('C:\WINDOWS\system32\kernel.dll'); BC_Activate; ExecuteRepair(20); RebootWindows(true); end. Код:
begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. из папки AVZ закачать на www.exfile.ru и дать ссылку. Скачайте утилиту Random's System Information Tool (RSIT) http://images.malwareremoval.com/random/RSIT.exe Отключите антивирус и фаерволл. Запустите RSIT, выберите проверку файлов за последние три месяца и нажмите продолжить. После того как RSIT выполнит свою функцию, должны открыться два отчета log.txt и info.txt их необходимо прикрепить к сообщению(через файлообменник), логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диск. |
02.05.2010, 15:56 | #10 (ссылка) |
Заблокирован
Стажёр
Регистрация: 25.02.2010
Сообщений: 906
Репутация: 79
|
Скачайте OTM by OldTimer и сохраните на рабочий стол.
Запустите OTM (в ОС Windows Vista необходимо запускать через правую кн. мыши от имени администратора) временно выключите антивирус, firewall и другое защитное программное обеспечение. Выделите и скопируйте текст ниже (Ctrl+C) Код:
:Processes explorer.exe :Services :Files C:\WINDOWS\system32\0J785OB.exe C:\WINDOWS\system32\KFUPq0y.exe C:\WINDOWS\system32\YSL6vpJ.exe C:\WINDOWS\system32\5wtj9S6.exe C:\WINDOWS\system32\LO6E5uw.exe C:\WINDOWS\system32\hAlil3n.exe C:\WINDOWS\system32\COZzyNo.exe C:\WINDOWS\system32\84tbZhp.exe C:\WINDOWS\system32\acTtLpb.exe C:\WINDOWS\system32\sOTRchh.exe C:\WINDOWS\system32\isLRFoy.exe C:\WINDOWS\system32\pPDX2JT.exe C:\WINDOWS\system32\pKJnYMQ.exe C:\WINDOWS\system32\yzkCTvl.exe C:\WINDOWS\system32\FUhLJ3I.exe C:\WINDOWS\system32\UE4lMrd.exe C:\WINDOWS\system32\AEztkJ9.exe C:\WINDOWS\system32\X2eUFj1.exe C:\WINDOWS\system32\HqvOgyq.exe C:\WINDOWS\system32\vjIOkG6.exe C:\WINDOWS\system32\GIwElA4.exe C:\Program Files\Common Files\keylog.txt C:\WINDOWS\winlogon.dll C:\WINDOWS\systems.dll C:\WINDOWS\system32\kernel.dll C:\WINDOWS\system.dll :Reg [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] "kernel"=- [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Kernel32] :Commands [purity] [emptytemp] [start explorer] [Reboot] Компьютер перезагрузится. После перезагрузки откройте папку "C:\_OTM\MovedFiles", найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение. Повторите логи RSIT. С:\_OTM\MovedFiles Запаковать,закачать и дать ссылку. |
02.05.2010, 16:11 | #11 (ссылка) |
Новичок
Регистрация: 02.05.2010
Сообщений: 34
Репутация: 0
|
All processes killed
========== PROCESSES ========== No active process named explorer.exe was found! ========== SERVICES/DRIVERS ========== ========== FILES ========== C:\WINDOWS\system32\0J785OB.exe moved successfully. C:\WINDOWS\system32\KFUPq0y.exe moved successfully. C:\WINDOWS\system32\YSL6vpJ.exe moved successfully. C:\WINDOWS\system32\5wtj9S6.exe moved successfully. C:\WINDOWS\system32\LO6E5uw.exe moved successfully. C:\WINDOWS\system32\hAlil3n.exe moved successfully. C:\WINDOWS\system32\COZzyNo.exe moved successfully. C:\WINDOWS\system32\84tbZhp.exe moved successfully. C:\WINDOWS\system32\acTtLpb.exe moved successfully. C:\WINDOWS\system32\sOTRchh.exe moved successfully. C:\WINDOWS\system32\isLRFoy.exe moved successfully. C:\WINDOWS\system32\pPDX2JT.exe moved successfully. C:\WINDOWS\system32\pKJnYMQ.exe moved successfully. C:\WINDOWS\system32\yzkCTvl.exe moved successfully. C:\WINDOWS\system32\FUhLJ3I.exe moved successfully. C:\WINDOWS\system32\UE4lMrd.exe moved successfully. C:\WINDOWS\system32\AEztkJ9.exe moved successfully. C:\WINDOWS\system32\X2eUFj1.exe moved successfully. C:\WINDOWS\system32\HqvOgyq.exe moved successfully. C:\WINDOWS\system32\vjIOkG6.exe moved successfully. C:\WINDOWS\system32\GIwElA4.exe moved successfully. C:\Program Files\Common Files\keylog.txt moved successfully. DllUnregisterServer procedure not found in C:\WINDOWS\winlogon.dll C:\WINDOWS\winlogon.dll moved successfully. DllUnregisterServer procedure not found in C:\WINDOWS\systems.dll C:\WINDOWS\systems.dll moved successfully. DllUnregisterServer procedure not found in C:\WINDOWS\system32\kernel.dll C:\WINDOWS\system32\kernel.dll moved successfully. DllUnregisterServer procedure not found in C:\WINDOWS\system.dll C:\WINDOWS\system.dll moved successfully. ========== REGISTRY ========== Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Run\\kernel deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Kernel32\ deleted successfully. ========== COMMANDS ========== [EMPTYTEMP] User: Admin ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 53729307 bytes ->Java cache emptied: 12188425 bytes ->FireFox cache emptied: 99347345 bytes ->Flash cache emptied: 11550 bytes User: All Users User: All Users.WINDOWS User: Default User ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 33170 bytes User: LocalService ->Temporary Internet Files folder emptied: 633208 bytes User: NetworkService ->Temporary Internet Files folder emptied: 33170 bytes %systemdrive% .tmp files removed: 0 bytes %systemroot% .tmp files removed: 2340499 bytes %systemroot%\System32 .tmp files removed: 5709 bytes %systemroot%\System32\dllcache .tmp files removed: 0 bytes %systemroot%\System32\drivers .tmp files removed: 0 bytes Windows Temp folder emptied: 1795720791 bytes %systemroot%\system32\config\systemprofile\Local Settings\Temp folder emptied: 0 bytes %systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 32902 bytes RecycleBin emptied: 4176615401 bytes Total Files Cleaned = 5*856,00 mb OTM by OldTimer - Version 3.1.11.0 log created on 05022010_150140 Files moved on Reboot... Registry entries deleted on Reboot... ---------- Добавлено в 15:11 ---------- Предыдущее сообщение было написано в 15:07 ---------- moved files - http://exfile.ru/98239 rsit - http://exfile.ru/98238 |
03.05.2010, 19:50 | #13 (ссылка) |
Знаток
|
denisns, пробуем вот это.
1. Скачайте установочный файл mbam-setup.exe Здесь: http://www.besttechie.net/mbam/mbam-setup.exe Или ссылка здесь: http://www.malwarebytes.org/mbam-download.php 2. Установите ее по стандартному пути с настройками по умолчанию. 3. Обновите базы программы!!! 4. Запустите полное сканирование. Ничего не удаляйте (много ложных срабатываний)!!! 5. По окончании сканирования будет сгенерирован лог. 6. Прикрепите его без переименования к Вашему следующему сообщению. |
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1) | |
|
|