-
Junior Member
- Вес репутации
- 61
Нет выключения ХР.
Пользователь я слабый. Извините.
Антивирус у меня когда-то был, но, вот не пользовал я его. Видимо оттуда все проблемсы.
Правила сайта все выполнил, за исключением "перезагрузки".
Этот процесс у меня проходит только через "reset", т.к. Winda не выключается... С рабочего стола вся символика удаляется, остается заставка и всё... Тишина.
С HijackThis тоже не сраслось, прога работает, но вот .log найти нигде не могу...
Началось всё после того как Ad-aware нашел и удалил каких-то троянов. Честно скажу, не вникал каких именно. Если надо, могу в .txt дать распечатку карантина.
После прогона AVZ (ужастнуло количество красного текста...) суть вопроса не изменилась, комп не выключается.
Что далее исполнить?
Последний раз редактировалось Gena77; 09.05.2008 в 00:48.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\ati2psag.sys','');
QuarantineFile('C:\WINDOWS\system32\ati2paag.dll','');
QuarantineFile('c:\windows\system32\ovrscn.dll','');
QuarantineFile('c:\DriverLoad\windrv0.exe','');
QuarantineFile('C:\WINDOWS\skynetave.exe','');
QuarantineFile('C:\WINDOWS\kernel2.exe','');
QuarantineFile('C:\WINDOWS\System32\wnsapicc.exe','');
QuarantineFile('C:\DOCUME~1\889C~1\LOCALS~1\Temp\winlogon.exe','');
QuarantineFile('C:\WINDOWS\system32\ovwscn.sys','');
QuarantineFile('C:\WINDOWS\system32\ovrscn.sys','');
QuarantineFile('C:\WINDOWS\system32\msdirect.sys','');
QuarantineFile('C:\WINDOWS\system32\ovrscn.dll','');
DeleteFile('C:\DOCUME~1\889C~1\LOCALS~1\Temp\winlogon.exe');
DeleteFile('C:\WINDOWS\kernel2.exe');
DeleteFile('c:\DriverLoad\windrv0.exe');
DeleteFile('c:\windows\system32\ovrscn.dll');
DeleteFile('C:\WINDOWS\system32\ovrscn.sys');
DeleteFile('C:\WINDOWS\system32\ovwscn.sys');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил.
Удалите папку c:\DriverLoad
Последний раз редактировалось Bratez; 28.09.2007 в 17:53.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 61
Перезагрузка всё равно через "rezet".
Папку удалил.
Последний раз редактировалось Gena77; 28.09.2007 в 19:45.
-
уберите карантин из темы ... его нужнл загрузить по ссылке http://virusinfo.info/upload_virus.php?tid=12815
-
-
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\ati2paag.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После перезагрузки сделайте новые логи.
Постарайтесь все-таки разобраться и сделать лог HijackThis.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 61
V_Bondу
Не получается убрать архив из сообщения... текст править вроде выходит, а вот с вложением, что-то не получается. Как убрать?
Bratezу
Комп стал перезагружаться!!! Вроде как проблема решилась!
Но вот с HijackThis непонятно. Где этот лог искать. После работы проги выдается обыкновенный файл в виде файла txt, может это он и есть?
И куда теперь грузить новые логи AVZ? Сюда или по указанной выше ссылке?
-
Сообщение от
Gena77
Но вот с HijackThis непонятно. Где этот лог искать. После работы проги выдается обыкновенный файл в виде файла txt, может это он и есть?
И куда теперь грузить новые логи AVZ? Сюда или по указанной выше ссылке?
текстовый файл и есть лог ... его и новые логи AVZ прикрепить к сообщению ....
-
-
Junior Member
- Вес репутации
- 61
Тогда вот, что получилось.
Последний раз редактировалось Gena77; 09.05.2008 в 00:48.
-
выполните скрипт ...
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('C:\WINDOWS\skynetave.exe');
DeleteFile('C:\WINDOWS\System32\wnsapicc.exe');
DeleteFile('ati2paag.dll');
DeleteFile('ovrscn.dll');
DeleteFile('C:\WINDOWS\system32\qy.sys');
DeleteFile('C:\WINDOWS\system32\ovrscn.dll');
DeleteFile('C:\WINDOWS\system32\ovrscn.sys');
DeleteFile('C:\WINDOWS\system32\ovwscn.sys');
DeleteFile('C:\WINDOWS\system32\qz.dll');
DeleteFile('C:\WINDOWS\system32\qz.sys');
DeleteFile('C:\WINDOWS\kernel2.exe');
DeleteFile('C:\WINDOWS\kernel%32.exe');
DeleteFile('C:\WINDOWS\kernel .exe');
DeleteFile('c:\windows\system32\klogini.dll');
DeleteFile('c:\windows\system32\fltr.a3d');
DeleteFile('c:\windows\system32\i.a3d');
DeleteFile('c:\windows\system32\p2.ini');
DeleteFile('c:\windows\system32\redir.a3d');
DeleteFile('c:\windows\system32\tnfl.a3d');
DelWinlogonNotifyByFileName('ovrscn.dll ');
BC_ImportDeletedList;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
повторите логи ...
-
-
Junior Member
- Вес репутации
- 61
Последний раз редактировалось Gena77; 09.05.2008 в 00:48.
-
пофиксите...
Код:
O9 - Extra button: (no name) - AutorunsDisabled - (no file)
O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)
O16 - DPF: {33331111-1111-1111-1111-615111193427} -
выполните скрипт...
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('C:\DOCUME~1\889C~1\LOCALS~1\Temp\dnlsvc.exe');
BC_DeleteSvc('dnlsvc');
BC_ImportDeletedList;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
повторите логи....
из этого что используете ?
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Remote Registry)
>> Службы: разрешена потенциально опасная служба TermService (Terminal Services)
>> Службы: разрешена потенциально опасная служба SSDPSRV (SSDP Discovery Service)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
-
-
Junior Member
- Вес репутации
- 61
(Remote Registry) работает авто
(Terminal Services) работает вручную
(SSDP Discovery Service) работает вручную
(Планировщик заданий) работает авто
(NetMeeting Remote Desktop Sharing) остановлена вручную
(Диспетчер сеанса справки для удаленного рабочего стола) остановлена вручную
Остального (по безопасности) не нашел. Если дадите путь поиска, готов повторить.
Комп домашний.
Последний раз редактировалось Gena77; 09.05.2008 в 00:48.
-
Пофиксите в HijackThis:
Код:
O20 - Winlogon Notify: ati2paag - C:\WINDOWS\
O20 - Winlogon Notify: ovrscn - C:\WINDOWS\
Вот скрипт для отключения лишних сервисов:
Код:
begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
SetServiceStart('RDSessMgr', 4);
SetServiceStart('mnmsrvc', 4);
SetServiceStart('Schedule', 4);
SetServiceStart('SSDPSRV', 4);
SetServiceStart('TermService', 4);
SetServiceStart('RemoteRegistry', 4);
end.
Хотелось бы еще проверить файлы:
C:\WINDOWS\system32\ati2psag.sys
c:\ie.reg
Найдите их вручную через AVZ и пришлите по правилам.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 61
Всё выполнил.
Только на поиск c:\ie.reg AVZ ругалась красным:
Ошибка карантина файла, попытка прямого чтения (c:\ie.reg)
Карантин с использованием прямого чтения - ошибка.
Как быть?
Добавлено через 1 минуту
Ссори, забыл.
А что делать с C:\WINDOWS\system32\ati2psag.sys
Оставить в карантине, удалить, восстановить?
Последний раз редактировалось Gena77; 30.09.2007 в 18:36.
Причина: Добавлено
-
1. Пофиксите в HijackThis:
Код:
O4 - HKLM\..\Run: [SystemSearch] REGEDIT.EXE -S c:\ie.reg
2. C:\WINDOWS\system32\ati2psag.sys пришлите по правилам.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 61
Пофиксил.
При попытке поиска (c:\ie.reg) ответ тот же, красным.
C:\WINDOWS\system32\ati2psag.sys я уже один раз отправлял. Повторяю отправку еще раз.
-
И действительно, ati2psag.sys - Trojan-Spy.Win32.Banker.efg.
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\ati2psag.sys');
BC_DeleteFile('C:\WINDOWS\system32\ati2psag.sys');
BC_DeleteSvc('ati2psag');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Сделайте новые логи, надо убедиться, что теперь все в порядке.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 61
Последний раз редактировалось Gena77; 09.05.2008 в 00:40.
[I]Кто хочет - ищет возможности, кто не хочет - причины![/I]
-
ничего зловредного в логах не вижу, какие проблеемы остались ?
-
-
Junior Member
- Вес репутации
- 61
Честно говоря, больше никаких проблем с работой компа!
Спасибо вам огромное! Рад, что существует такой великолепный сайт!
Есть еще один вопрос, правда не в тему вирусов. Если возможно, подскажите, как снести второй Windows, который я сгоряча установил, когда самостоятельно пытался справиться с проблемой.
Как их различить, я знаю, т.к. при загрузке предлагается два варианта. Второй при этом имеет отличие в виде добавки RU.
Но вот как его корректно удалить, чтоб остальное не порушить?
Может подскажите?
[I]Кто хочет - ищет возможности, кто не хочет - причины![/I]