Загрузка

Blast · Конфигурация компьютера

Цитата helge12:

Это деталь системы или плод творения вируса? »

второе

Проверьтесь по этим правилам
И проверьте в реестре, в разделе HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon - параметр Shell - по умолчанию его значение равно Explorer.exe

P.S. Смотрите здесь: http://www.trendmicro.com/vinfo/viru...N%2EJ&VSect=Sn

helge12 · Отправлено: **07:23, 05-06-2008** | #3

Проверил. В указанной ветке реестра все нормально. Ключа, указанного в P.S. на моей машине не существует. Хотя я сделал полный поиск по реестру по имени файла mstmdm.dll. Ничего не нашел.
Откуда же от лезет?

Angry Demon · Отправлено: **08:08, 05-06-2008** | #4

helge12, а в разделе HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls ссылки на эту пакость нету?

Blast · Конфигурация компьютера

Цитата Blast:

Проверьтесь по этим правилам »

не вижу логов

Dirk Diggler · Отправлено: **11:53, 05-06-2008** | #6

можно использовать autoruns от sysinternals и AVZ - там есть фича типа менеджера автозагрузки.
К тому же этот файл может подгружаться другим файлом 8-)

helge12 · Отправлено: **12:24, 18-06-2008** | #7

Вот логи. Наконец протестировал.
Судя по логам, этот файл грузится из ветки HKEY_LOCAL_MACHINE, Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad, UpdateCheck
Там стоит ссылка на ключ {AC874E86-8BDE-4263-A7DA-F8CE6C5292DD}.
Нашел в реестре этот ключ. В нем значение Java.Runtime52

Pili · Отправлено: **12:50, 18-06-2008** | #8

helge12,
В AVZ - файл - выполнить скрипт – выделить и скопировать текст ниже в окно выполнения скрипта AVZ и нажать кнопку «Запустить». На время выполнения скрипта выключите антивирус и firewall.

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\DRIVERS\TVICHW32.SYS','');
 QuarantineFile('C:\Program Files\Xi\NetTransport 2\NTIEHelper.dll','');
 QuarantineFile('C:\WINDOWS\system32\mstmdm.dll','');
 DeleteFile('C:\WINDOWS\system32\mstmdm.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteRepair(1);
RebootWindows(true);
end.

Компьютер перезагрузится. После перезагрузки выполнить ещё скрипт

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Файл quarantine.zip выслать на user15802[at]mail.ru, в теле письма указать ссылку на тему, или выложить файл на ifolder.ru или другой файлообменник и дать ссылку на него в ПМ (личку).

Запустите файл hijackthis.exe, нажмите кнопку "Do a system scan only", в открывшемся окне поставьте галочки напротив указанных строк и нажмите кнопку "Fix Checked" (если найдется)

Код:

O21 - SSODL: UpdateCheck - {AC874E86-8BDE-4263-A7DA-F8CE6C5292DD} - C:\WINDOWS\system32\mstmdm.dll (file missing)

Запустите в AVZ Мастер поиска и устранения проблем, выберите все системные проблемы, выставьте степень опасности "Все проблемы", исправьте найденные проблемы. То же самое можно выполнить в категории проблемы "Настройки и твики браузера".
Повторите логи virusinfo_syscheck.zip, hijackthis

Blast · Конфигурация компьютера

Pili, переносим к тебе в лазарет?

Pili · Отправлено: **13:07, 18-06-2008** | #10

Blast, можно, хотя и не обязательно, вероятнол проблемы после скрипта д.б. уже решены :)