[SolarSpark]

Обновите Internet Explorer до IE8

Вам необходимо установить Service Pack 3 (может потребоваться активация)

Сделайте лог RSIR

• Если у вас 32 разрядная версия windows, то скачайте Random's System Information Tool (RSIT) или с зеркала
• Если у вас 64 разрядная версия windows, то необходимо скачать эту версию Random's System Information Tool(RSIT)x64 или с зеркала

Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.

и по поводу логов AVZ

нужны логи virusinfo_syscure.zip, virusinfo_syscheck.zip

[Arbitr]

почему думаете что проблема в вирусах?

Цитата:

не запускается половина нужных мне служб, в частности Radmin server 3 hamachi

в логе HJT я вижу у вас запущен C:\WINDOWS\system32\rserver30\RServer3.exe и C:\Program Files\LogMeIn Hamachi\hamachi-2-ui.exe

для начала я бы рекомендовал вам обновить Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) до sp3 и explorer 8

далее я вижу программу C:\Program Files\Reboot 2500U\Reboot2500U.exe как я понимаю удаленный комп выходит через диал ап в мир?

далее для проверки логов нужны virusinfo_syscure.zip и\или virusinfo_syscheck.zip
но без обновлений до sp3 если по логам будут вируса то лечить нет смысла...

[tarakan1983]

Прошу прощения за долгий ответ, связи не было.

Цитата:

в логе HJT я вижу у вас запущен C:\WINDOWS\system32\rserver30\RServer3.exe и C:\Program Files\LogMeIn Hamachi\hamachi-2-ui.exe

Запустил в ручную через службы.

Цитата:

Вам необходимо установить Service Pack 3 (может потребоваться активация)

Не устанавливается, см. inst_sp3.rar!!!!

Цитата:

нужны логи virusinfo_syscure.zip, virusinfo_syscheck.zip

Приложил

[zirreX]

Отключите:
Компьютер от интернета/локальной сети
Антивирус/Файерволл

• Выполните скрипт AVZ

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный скрипт -> Нажать кнопку "Запустить".

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
 QuarantineFile('C:\WINDOWS\system32\dwlgina2.dll','');
 QuarantineFile('C:\OKO\TCP-IP\INET.dll','');
 QuarantineFile('C:\OKO\GuardAgent\GuardAgent2.dll','');
 QuarantineFile('c:\oko\oko.exe','');
 QuarantineFile('C:\WINDOWS\system32\MAI1.tmp','');
 QuarantineFile('C:\WINDOWS\system32\gbre.exe','');
 DeleteFile('C:\WINDOWS\system32\gbre.exe');
 DeleteFile('C:\WINDOWS\system32\MAI1.tmp');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится!

• После перезагрузки выполните такой скрипт:

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный скрипт -> Нажать кнопку "Запустить".

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин.Отправьте quarantine.zip из папки AVZ через эту форму.

• Пофиксите в HiJackThis
Отметьте галочками указанные строки и нажмите Fix Checked.

Код:

O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Toolbars\Restrictions present

Сделайте новые логи.

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

[tarakan1983]

Цитата zirreX:

Отключите: Компьютер от интернета/локальной сети Антивирус/Файерволл »

Не могу, т.к. управляю им удаленно через интернет.

Цитата Arbitr:

далее я вижу программу C:\Program Files\Reboot 2500U\Reboot2500U.exe как я понимаю удаленный комп выходит через диал ап в мир? »

Нет, через адсл модем d-link 2500U, эта программа нужна для перезагрузки модема, если подвисло adsl соединение.


Выполнил скрипт

Код:

begin SearchRootkit(true, true); SetAVZGuardStatus(true);  QuarantineFile('C:\WINDOWS\system32\dwlgina2.dll','');  QuarantineFile('C:\WINDOWS\system32\MAI1.tmp','');  QuarantineFile('C:\WINDOWS\system32\gbre.exe','');  DeleteFile('C:\WINDOWS\system32\gbre.exe');  DeleteFile('C:\WINDOWS\system32\MAI1.tmp'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.

не могу закинуть в карантин все, что касается OKO, это программа для наблюдения за объектами пожарной безопасности.
После перезагрузки вроде бы все, что мне надо, нормально запустилось

Цитата zirreX:

В результате выполнения скрипта будет сформирован карантин.Отправьте quarantine.zip из папки AVZ через эту форму. »

Отправил

Цитата zirreX:

Отметьте галочками указанные строки и нажмите Fix Checked. »

Профиксил

Цитата zirreX:

Сделайте новые логи. »

В AVZ ?

Цитата zirreX:

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", »

Прикрепил

[zirreX]

Удалить в MBAM

Код:

Заражённые ключи в реестре:
HKEY_CLASSES_ROOT\CLSID\{1408E208-2AC1-42D3-9F10-78A5B36E05AC} (Trojan.BHO) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Active Setup\Installed Components\{12LOP3S8-1VRX-81VS-JKL6-61OP5G7774441} (Trojan.Agent) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Active Setup\Installed Components\{28ABC5C0-4FCB-11CF-AAX5-21CX1C643131} (Worm.AutoRun) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Active Setup\Installed Components\{67KLN5J0-4OPM-00WE-AAX5-77EF1D187322} (Trojan.Agent) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Active Setup\Installed Components\{67MAD3M8-3MAD-81AD-MAD6-78OP5G1234521} (Backdoor.Bot) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Active Setup\Installed Components\{67MAD6M8-1MAD-81AD-MAD6-32OP5G1234521} (Trojan.Refroso) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Active Setup\Installed Components\{77BCK2V0-3HKJ-89VV-XAF2-88KL5R9212155} (Worm.AutoRun) -> No action taken.

Заражённые файлы:
c:\WINDOWS\Temp\427.exe (Trojan.Agent) -> No action taken.
c:\windows\system32\drivers\str.sys (Rootkit.Agent) -> No action taken.

Сделайте новый лог RSIT + новый лог полного сканирования MBAM после удаления выше указанных объектов.

На время установки SP3 антивирус отключали?

[tarakan1983]

Всем спасибо все решилось, вроде работает!

[zirreX]

Подготовьте новые логи.