Нет выключения ХР.

[Gena77]

Пользователь я слабый. Извините.
Антивирус у меня когда-то был, но, вот не пользовал я его. Видимо оттуда все проблемсы.
Правила сайта все выполнил, за исключением "перезагрузки".
Этот процесс у меня проходит только через "reset", т.к. Winda не выключается... С рабочего стола вся символика удаляется, остается заставка и всё... Тишина.
С HijackThis тоже не сраслось, прога работает, но вот .log найти нигде не могу...
Началось всё после того как Ad-aware нашел и удалил каких-то троянов. Честно скажу, не вникал каких именно. Если надо, могу в .txt дать распечатку карантина.
После прогона AVZ (ужастнуло количество красного текста...) суть вопроса не изменилась, комп не выключается.
Что далее исполнить?

[Bratez]

Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\ati2psag.sys','');
 QuarantineFile('C:\WINDOWS\system32\ati2paag.dll','');
 QuarantineFile('c:\windows\system32\ovrscn.dll','');
 QuarantineFile('c:\DriverLoad\windrv0.exe','');
 QuarantineFile('C:\WINDOWS\skynetave.exe','');
 QuarantineFile('C:\WINDOWS\kernel2.exe','');
 QuarantineFile('C:\WINDOWS\System32\wnsapicc.exe','');
 QuarantineFile('C:\DOCUME~1\889C~1\LOCALS~1\Temp\winlogon.exe','');
 QuarantineFile('C:\WINDOWS\system32\ovwscn.sys','');
 QuarantineFile('C:\WINDOWS\system32\ovrscn.sys','');
 QuarantineFile('C:\WINDOWS\system32\msdirect.sys','');
 QuarantineFile('C:\WINDOWS\system32\ovrscn.dll','');
 DeleteFile('C:\DOCUME~1\889C~1\LOCALS~1\Temp\winlogon.exe');
 DeleteFile('C:\WINDOWS\kernel2.exe');
 DeleteFile('c:\DriverLoad\windrv0.exe');
 DeleteFile('c:\windows\system32\ovrscn.dll');
 DeleteFile('C:\WINDOWS\system32\ovrscn.sys');
 DeleteFile('C:\WINDOWS\system32\ovwscn.sys');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил.
Удалите папку c:\DriverLoad

[Gena77]

Перезагрузка всё равно через "rezet".
Папку удалил.

[V_Bond]

уберите карантин из темы ... его нужнл загрузить по ссылке http://virusinfo.info/upload_virus.php?tid=12815

[Bratez]

Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\ati2paag.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После перезагрузки сделайте новые логи.
Постарайтесь все-таки разобраться и сделать лог HijackThis.

[Gena77]

V_Bondу
Не получается убрать архив из сообщения... текст править вроде выходит, а вот с вложением, что-то не получается. Как убрать?

Bratezу
Комп стал перезагружаться!!! Вроде как проблема решилась!
Но вот с HijackThis непонятно. Где этот лог искать. После работы проги выдается обыкновенный файл в виде файла txt, может это он и есть?
И куда теперь грузить новые логи AVZ? Сюда или по указанной выше ссылке?

[V_Bond]

Но вот с HijackThis непонятно. Где этот лог искать. После работы проги выдается обыкновенный файл в виде файла txt, может это он и есть?
И куда теперь грузить новые логи AVZ? Сюда или по указанной выше ссылке?

текстовый файл и есть лог ... его и новые логи AVZ прикрепить к сообщению ....

[Gena77]

Тогда вот, что получилось.

[V_Bond]

выполните скрипт ...

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 DeleteFile('C:\WINDOWS\skynetave.exe');
 DeleteFile('C:\WINDOWS\System32\wnsapicc.exe');
 DeleteFile('ati2paag.dll');
 DeleteFile('ovrscn.dll');
 DeleteFile('C:\WINDOWS\system32\qy.sys');
 DeleteFile('C:\WINDOWS\system32\ovrscn.dll');
 DeleteFile('C:\WINDOWS\system32\ovrscn.sys');
 DeleteFile('C:\WINDOWS\system32\ovwscn.sys');  
 DeleteFile('C:\WINDOWS\system32\qz.dll');
 DeleteFile('C:\WINDOWS\system32\qz.sys');
 DeleteFile('C:\WINDOWS\kernel2.exe');
 DeleteFile('C:\WINDOWS\kernel%32.exe');
 DeleteFile('C:\WINDOWS\kernel .exe');
 DeleteFile('c:\windows\system32\klogini.dll');
 DeleteFile('c:\windows\system32\fltr.a3d');
 DeleteFile('c:\windows\system32\i.a3d'); 
 DeleteFile('c:\windows\system32\p2.ini');
 DeleteFile('c:\windows\system32\redir.a3d');
 DeleteFile('c:\windows\system32\tnfl.a3d');
 DelWinlogonNotifyByFileName('ovrscn.dll ');    
 BC_ImportDeletedList;
 BC_Activate;
 ExecuteSysClean;
 RebootWindows(true);
end.

повторите логи ...

[Gena77]

Выполнил.

[V_Bond]

пофиксите...

Код:

O9 - Extra button: (no name) - AutorunsDisabled - (no file)
O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)
O16 - DPF: {33331111-1111-1111-1111-615111193427} -

выполните скрипт...

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 DeleteFile('C:\DOCUME~1\889C~1\LOCALS~1\Temp\dnlsvc.exe');
 BC_DeleteSvc('dnlsvc');
 BC_ImportDeletedList;     
 BC_Activate;
 ExecuteSysClean;
 RebootWindows(true);
end.

повторите логи....

из этого что используете ?
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Remote Registry)
>> Службы: разрешена потенциально опасная служба TermService (Terminal Services)
>> Службы: разрешена потенциально опасная служба SSDPSRV (SSDP Discovery Service)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)

[Gena77]

(Remote Registry) работает авто
(Terminal Services) работает вручную
(SSDP Discovery Service) работает вручную
(Планировщик заданий) работает авто
(NetMeeting Remote Desktop Sharing) остановлена вручную
(Диспетчер сеанса справки для удаленного рабочего стола) остановлена вручную
Остального (по безопасности) не нашел. Если дадите путь поиска, готов повторить.
Комп домашний.

[Bratez]

Пофиксите в HijackThis:

Код:

O20 - Winlogon Notify: ati2paag - C:\WINDOWS\
O20 - Winlogon Notify: ovrscn - C:\WINDOWS\

Вот скрипт для отключения лишних сервисов:

Код:

begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
SetServiceStart('RDSessMgr', 4);
SetServiceStart('mnmsrvc', 4);
SetServiceStart('Schedule', 4);
SetServiceStart('SSDPSRV', 4);
SetServiceStart('TermService', 4);
SetServiceStart('RemoteRegistry', 4);
end.

Хотелось бы еще проверить файлы:
C:\WINDOWS\system32\ati2psag.sys
c:\ie.reg
Найдите их вручную через AVZ и пришлите по правилам.

[Gena77]

Всё выполнил.
Только на поиск c:\ie.reg AVZ ругалась красным:

Ошибка карантина файла, попытка прямого чтения (c:\ie.reg)
Карантин с использованием прямого чтения - ошибка.

Как быть?

Добавлено через 1 минуту

Ссори, забыл.
А что делать с C:\WINDOWS\system32\ati2psag.sys
Оставить в карантине, удалить, восстановить?

[Bratez]

1. Пофиксите в HijackThis:

Код:

O4 - HKLM\..\Run: [SystemSearch] REGEDIT.EXE -S c:\ie.reg

2. C:\WINDOWS\system32\ati2psag.sys пришлите по правилам.

[Gena77]

Пофиксил.
При попытке поиска (c:\ie.reg) ответ тот же, красным.

C:\WINDOWS\system32\ati2psag.sys я уже один раз отправлял. Повторяю отправку еще раз.

[Bratez]

И действительно, ati2psag.sys - Trojan-Spy.Win32.Banker.efg.

Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteFile('C:\WINDOWS\system32\ati2psag.sys');
 BC_DeleteFile('C:\WINDOWS\system32\ati2psag.sys');
 BC_DeleteSvc('ati2psag');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Сделайте новые логи, надо убедиться, что теперь все в порядке.

[Gena77]

Скрипт выполнен.

[V_Bond]

ничего зловредного в логах не вижу, какие проблеемы остались ?

[Gena77]

Честно говоря, больше никаких проблем с работой компа!
Спасибо вам огромное! Рад, что существует такой великолепный сайт!

Есть еще один вопрос, правда не в тему вирусов. Если возможно, подскажите, как снести второй Windows, который я сгоряча установил, когда самостоятельно пытался справиться с проблемой.
Как их различить, я знаю, т.к. при загрузке предлагается два варианта. Второй при этом имеет отличие в виде добавки RU.
Но вот как его корректно удалить, чтоб остальное не порушить?
Может подскажите?