22.10.2009, 16:01 | #51 (permalink) |
Member
Регистрация: 30.05.2008
Сообщений: 349
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 10
|
a-squared 4.5.0.41 2009.10.22 - AhnLab-V3 5.0.0.2 2009.10.22 - AntiVir 7.9.1.42 2009.10.22 - Antiy-AVL 2.0.3.7 2009.10.22 - Authentium 5.1.2.4 2009.10.21 - Avast 4.8.1351.0 2009.10.21 - AVG 8.5.0.420 2009.10.21 - BitDefender 7.2 2009.10.22 - CAT-QuickHeal 10.00 2009.10.22 - ClamAV 0.94.1 2009.10.22 - Comodo 2689 2009.10.22 - DrWeb 5.0.0.12182 2009.10.22 - eSafe 7.0.17.0 2009.10.21 - eTrust-Vet 35.1.7079 2009.10.22 - F-Prot 4.5.1.85 2009.10.21 - F-Secure 9.0.15300.0 2009.10.20 - Fortinet 3.120.0.0 2009.10.22 - GData 19 2009.10.22 - Ikarus T3.1.1.72.0 2009.10.22 - Jiangmin 11.0.800 2009.10.22 - K7AntiVirus 7.10.876 2009.10.21 - Kaspersky 7.0.0.125 2009.10.22 - McAfee 5778 2009.10.21 - McAfee+Artemis 5778 2009.10.21 - McAfee-GW-Edition 6.8.5 2009.10.22 Heuristic.LooksLike.Win32.Suspicious.H!80 Microsoft 1.5202 2009.10.22 - NOD32 4532 2009.10.22 - Norman 6.03.02 2009.10.21 - nProtect 2009.1.8.0 2009.10.22 - Panda 10.0.2.2 2009.10.21 - PCTools 4.4.2.0 2009.10.19 - Prevx 3.0 2009.10.22 - Rising 21.52.33.00 2009.10.22 - Sophos 4.46.0 2009.10.22 - Sunbelt 3.2.1858.2 2009.10.22 - Symantec 1.4.4.12 2009.10.22 - TheHacker 6.5.0.2.050 2009.10.22 - TrendMicro 8.950.0.1094 2009.10.22 - VBA32 3.12.10.11 2009.10.22 - ViRobot 2009.10.22.2001 2009.10.22 - VirusBuster 4.6.5.0 2009.10.21 - Дополнительная информация File size: 98816 bytes MD5...: d97dcc03b494adbda10185bddc3ca9db SHA1..: e9310ea9e29edfcb21f2c5ab9ed2898f9001e69b SHA256: 1ffd438bb38cb304015742c272fe0e166ad12e776e6a957384 a6e7c8b6e82957 ssdeep: 1536:LvXN+80H3zO15+YS8OwVv6iq5pfZBMsxqQpk6M0DJd1W6 :bN+80H361HS8D v0ZBMsoQpnM8d15 PEiD..: - PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x6240 timedatestamp.....: 0x41107c88 (Wed Aug 04 06:04:56 2004) machinetype.......: 0x14c (I386) ( 3 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x1000 0xfcf4 0xfe00 6.51 8b8a4744f0380bfc4329085866bb5874 .data 0x11000 0x28c8 0x1000 4.98 ed299d56b7baef0791f4561ce9119099 .rsrc 0x14000 0xc000 0x7000 5.81 653449412b86375ac32a1b7fe60882f0 ( 6 imports ) > KERNEL32.dll: IsWow64Process, GetCurrentProcess, GetCommandLineW, QueryPerformanceCounter, GetTickCount, GetCurrentThreadId, GetCurrentProcessId, GetSystemTimeAsFileTime, TerminateProcess, UnhandledExceptionFilter, SetUnhandledExceptionFilter, GetStartupInfoW, GetVersionExA, ExitProcess, GetModuleHandleA, WriteFile, GetStdHandle, GetModuleFileNameA, GetModuleFileNameW, FreeEnvironmentStringsA, MultiByteToWideChar, GetEnvironmentStrings, FreeEnvironmentStringsW, GetEnvironmentStringsW, GetCommandLineA, GetSystemDirectoryW, GetFileType, GetStartupInfoA, HeapDestroy, HeapCreate, VirtualFree, VirtualAlloc, HeapFree, LCMapStringA, WideCharToMultiByte, LCMapStringW, LoadLibraryA, RtlUnwind, InterlockedExchange, VirtualQuery, SetFilePointer, VirtualProtect, GetSystemInfo, GetLocaleInfoA, GetCPInfo, GetStringTypeA, GetStringTypeW, SetStdHandle, FlushFileBuffers, CloseHandle, LoadLibraryW, GetProcAddress, FreeLibrary, GetProcessHeap, HeapAlloc, GetSystemWindowsDirectoryW, SetHandleCount, SetCurrentDirectoryW, GetUserDefaultUILanguage, HeapReAlloc, GetLastError > GDI32.dll: CreateFontIndirectW, DeleteObject, CreateCompatibleDC, SelectObject, GetTextMetricsW, DeleteDC, GetObjectW > USER32.dll: SetWindowTextW, SetDlgItemTextW, SetForegroundWindow, mouse_event, EnableWindow, AllowForegroundActivation, LoadStringW, PostQuitMessage, DialogBoxParamW, LoadIconW, IsDlgButtonChecked, SetWindowPos, SetWindowLongW, GetWindowLongW, GetDlgItem, SendDlgItemMessageW, CloseWindowStation, GetUserObjectInformationW, GetProcessWindowStation, EndDialog, SendDlgItemMessageA, SetClassLongA, LoadIconA, SendMessageW > COMCTL32.dll: - > SHELL32.dll: ShellExecuteW, CommandLineToArgvW > ntdll.dll: NtWriteFile, NtQueryValueKey, RtlAppendUnicodeToString, RtlAppendUnicodeStringToString, RtlFormatCurrentUserKeyPath, RtlFreeHeap, RtlQueryEnvironmentVariable_U, NtMapViewOfSection, NtCreateSection, NtQueryInformationFile, NtUnmapViewOfSection, NtProtectVirtualMemory, NtAllocateVirtualMemory, NtFreeVirtualMemory, NtQuerySystemInformation, NtQueryVirtualMemory, RtlAnsiStringToUnicodeString, NtCreateFile, RtlUnicodeStringToInteger, RtlAllocateHeap, DbgPrint, RtlExpandEnvironmentStrings_U, NtQueryInformationProcess, RtlGetVersion, NtSetInformationFile, RtlInitAnsiString, strpbrk, strspn, NtOpenKey, NtCreateKey, NtSetValueKey, _vsnprintf, sprintf, strchr, isdigit, RtlUpcaseUnicodeString, RtlCopyUnicodeString, qsort, NtDeleteFile, NtQueryAttributesFile, RtlDosPathNameToNtPathName_U, _snwprintf, RtlDoesFileExists_U, wcsncpy, RtlFreeUnicodeString, wcsstr, swprintf, RtlInitUnicodeString, RtlGUIDFromString, NtOpenProcessToken, NtClose, NtOpenThreadToken |
22.10.2009, 16:01 | #52 (permalink) |
Member
Регистрация: 30.05.2008
Сообщений: 349
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 10
|
( 0 exports )
RDS...: NSRL Reference Data Set - pdfid.: - trid..: Generic Win/DOS Executable (49.9%) DOS Executable Generic (49.8%) Autodesk FLIC Image File (extensions: flc, fli, cel) (0.1%) sigcheck: publisher....: __________ __________ copyright....: (c) __________ __________. ___ _____ ________. product......: ____________ _______ Microsoft_ Windows_ description..: ________________ _________ _______ _____________ __________ original name: ahui.exe internal name: ahui.exe file version.: 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) comments.....: n/a signers......: - signing date.: - verified.....: Unsigned P.S. Был бы признателен, если бы вы ответили на 2 вопросика в пред моем посте ... |
22.10.2009, 16:06 | #53 (permalink) | |
Member
Регистрация: 01.01.2009
Сообщений: 13,189
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 415
|
Цитата:
Если на диске D нет инфы то просто отформатируйте стандартными средствами винды в NTFS Лучше оригинальный дистрибутив использовать. Гарантий исправить (поднять) больную винду больше. |
|
22.10.2009, 16:13 | #54 (permalink) |
Member
Регистрация: 30.05.2008
Сообщений: 349
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 10
|
окей, спасибо.
То есть просто скачать Windows SP3 без всяких там наворотов ? Что делать теперь ? З.Ы. А есть у вас WMU кошелечки дабы помочь развитию сайта ? |
22.10.2009, 16:22 | #55 (permalink) | |
Member
Регистрация: 01.01.2009
Сообщений: 13,189
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 415
|
Цитата:
Затем запустите avz: Файл-выполнить скрипт- в открывшееся окно внимательно!!! вставить текст: Код:
begin SearchRootkit(true, true); SetAVZGuardStatus(True); TerminateProcessByName('c:\windows\system\n.exe'); DeleteFile('c:\windows\system\n.exe'); DeleteFile('C:\WINDOWS\fonts\services.exe'); DeleteFile('C:\WINDOWS\system32\18.tmp'); DeleteFile('Explorer.exe rundll32.exe tapi.nfo beforeglav'); DeleteFile('MicroSoft.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Run','MicroSoft'); DeleteFile('C:\WINDOWS\system32\servises.exe'); DeleteFile('WinCon.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Run','MicroMix32'); DeleteFile('downlaw.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Run','downlaw'); DeleteFile('winini32.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Run','winini3232'); RenameFile('C:\WINDOWS\system32\ahui.exe','C:\WINDOWS\system32\ahui.bak'); CopyFile('C:\ahui.exe','C:\WINDOWS\system32\ahui.exe'); ExecuteSysClean; ExecuteRepair(6); ExecuteRepair(16); RebootWindows(true); end. После перезагрузки обновите базы avz:Файл-обновление баз. И выполните в avz стандартный скрипт №2 и прислать virusinfo_syscheck.zip |
|
Ads | |
Member
Регистрация: 31.10.2006
Сообщений: 40200
Записей в дневнике: 0
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 55070
|
22.10.2009, 17:01 | #59 (permalink) |
Member
Регистрация: 01.01.2009
Сообщений: 13,189
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 415
|
Понято!
1) Выполнить это Код:
begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('C:\WINDOWS\fonts\services.exe'); DelAutorunByFileName('C:\WINDOWS\fonts\services.exe'); ExecuteSysClean; ExecuteRepair(6); ExecuteRepair(9); RebootWindows(true); end. 2) На эту Windows XP SP2 есть CD диск? |
22.10.2009, 17:36 | #60 (permalink) |
Member
Регистрация: 30.05.2008
Сообщений: 349
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 10
|
http://exfile.ru/66506 - virusinfo_syscheck.zip
http://exfile.ru/66507 - hijackthis На счет второго вопроса пока неизвестно. По всей видимости диска не будет... З.Ы. 1)А есть у вас WMU кошелечки дабы помочь развитию сайта ? 2)То есть просто скачать Windows SP3 без всяких там наворотов ? |
Ads | |
Member
Регистрация: 31.10.2006
Сообщений: 40200
Записей в дневнике: 0
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 55070
|
Метки |
djvu, плагин |
|
|