Показано с 1 по 17 из 17.

вирусы атакуют (заявка № 20282)

  1. #1
    Junior Member Репутация
    Регистрация
    10.10.2007
    Сообщений
    38
    Вес репутации
    34

    Exclamation вирусы атакуют

    здравствуйте. у меня обычная проблема: где-то удалось подхватить вирусов. комп что-то долго грузит после загрузки винды, да так, что невозможно работать. в общем, обычная история. помогите, пожалуйста.
    Вложения Вложения

  2. Реклама
     

  3. #2
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1497
    Ad-Aware удалить ....
    восстановление системы - отключить ...
    выполните скрипт ...
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\svchost.exe:ext.exe:$DATA','');
     DeleteFile('C:\WINDOWS\system32\svchost.exe:ext.exe:$DATA');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    пришлите карантин согласно приложения 3 правил ...
    повторите логи ...

  4. #3
    Junior Member Репутация
    Регистрация
    10.10.2007
    Сообщений
    38
    Вес репутации
    34
    простите, а Вы не могли бы проверить всё заново? вот новые логи. просто в прошлый раз не получилось доделать процедуру (хотя скрипт выполнил), и вдобавок появились различные поп-апы, предлагающие якобы купить / скачать различные ad-aware программы.
    Вложения Вложения

  5. #4
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1497
    удалите все антиспаи !!! толку от них 0 (оставте только антивирус).... а лечению мешать будут ...
    скачайте C:\WINDOWS\System32\drivers\Vcg04.sys - force delete
    віполните скрипт авз
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\dllcache\comctl32.dll:_rc_db_sec_obj:$DATA','');
     QuarantineFile('C:\WINDOWS\system32\dllcache\comctl32.dll:_rc_db_5.1.2600:$DATA','');
     QuarantineFile('C:\WINDOWS\system32\comctl32.dll:_rc_db_sec_obj:$DATA','');
     QuarantineFile('C:\WINDOWS\system32\comctl32.dll:_rc_db_5.1.2600:$DATA','');
     QuarantineFile('c:\windows\system32\comctl32.dll:_rc_db_sec_obj:$DATA','');
     QuarantineFile('c:\windows\system32\comctl32.dll:_rc_db_5.1.2600:$DATA','');
     DelBHO('{fc3a74e5-f281-4f10-ae1e-733078684f3c}');
     DelBHO('{ffff0001-0002-101a-a3c9-08002b2f49fb}');
     DelBHO('{9c5b2f29-1f46-4639-a6b4-828942301d3e}');
     DelBHO('{965a592f-8efa-4250-8630-7960230792f1}');
     DelBHO('{8674aea0-9d3d-11d9-99dc-00600f9a01f1}');
     DelBHO('{622cc208-b014-4fe0-801b-874a5e5e403a}');
     DelBHO('{5fa6752a-c4a0-4222-88c2-928ae5ab4966}');
     DelBHO('{5dafd089-24b1-4c5e-bd42-8ca72550717b}');
     DelBHO('{5929cd6e-2062-44a4-b2c5-2c7e78fbab38}');
     DelBHO('{4e7bd74f-2b8d-469e-92c6-ce7eb590a94d}');
     DelBHO('{4e1075f4-eec4-4a86-add7-cd5f52858c31}');
     DelBHO('{15651c7c-e812-44a2-a9ac-b467a2233e7d}');
     DelBHO('{13197ace-6851-45c3-a7ff-c281324d5489}');
     DelBHO('{00000250-0320-4dd4-be4f-7566d2314352}');
     QuarantineFile('C:\Documents and Settings\HooverCraft\Local Settings\Application Data\loads_lamo.exe','');
     QuarantineFile('C:\DOCUME~1\HOOVER~1\LOCALS~1\Temp\loader.exe','');
     BC_DeleteSvc('ndisaluo');
     QuarantineFile('C:\WINDOWS\system32\Drivers\ndisaluo.sys','');
     BC_DeleteSvc('ntio922');
     BC_DeleteSvc('Fkp73');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Fkp73.sys','');
     BC_DeleteSvc('diperto13aa-ec1');
     QuarantineFile('C:\WINDOWS\system32\diperto13aa-ec1.sys','');
     BC_DeleteSvc('Schedule');
     QuarantineFile('C:\WINDOWS\system32\drivers\loads_lamonax.exe','');
     BC_DeleteSvc('CcEvtSvc');
     QuarantineFile('C:\WINDOWS\System32\CcEvtSvc.exe','');
     QuarantineFile('C:\WINDOWS\System32\drivers\Vcg04.sys','');
     QuarantineFile('C:\WINDOWS\system32\ftpdll.dll','');
     QuarantineFile('C:\Documents and Settings\All Users\Документы\Settings\partnership.dll','');
     QuarantineFile('c:\windows\winlogon.exe','');
     QuarantineFile('c:\windows\system32\drivers\spools.exe','');
     QuarantineFile('c:\docume~1\hoover~1\locals~1\temp\setup.exe','');
     QuarantineFile('c:\windows\system32\mgmrwmrv.exe','');
     QuarantineFile('C:\WINDOWS\explorer.exe','');
     QuarantineFile('c:\docume~1\hoover~1\locals~1\temp\7498.tmp','');
     QuarantineFile('c:\docume~1\hoover~1\locals~1\temp\3cfa.tmp','');
     QuarantineFile('c:\docume~1\hoover~1\locals~1\temp\1d1e.tmp','');
     DeleteFile('c:\docume~1\hoover~1\locals~1\temp\1d1e.tmp');
     DeleteFile('c:\docume~1\hoover~1\locals~1\temp\3cfa.tmp');
     DeleteFile('c:\docume~1\hoover~1\locals~1\temp\7498.tmp');
     DeleteFile('c:\windows\system32\mgmrwmrv.exe');
     DeleteFile('c:\docume~1\hoover~1\locals~1\temp\setup.exe');
     DeleteFile('c:\windows\system32\drivers\spools.exe');
     DeleteFile('c:\windows\winlogon.exe');
     DeleteFile('C:\WINDOWS\system32\ftpdll.dll');
     DeleteFile('C:\WINDOWS\System32\drivers\Vcg04.sys');
     DeleteFile('C:\WINDOWS\System32\CcEvtSvc.exe');
     DeleteFile('C:\WINDOWS\system32\drivers\loads_lamonax.exe');
     DeleteFile('C:\WINDOWS\system32\diperto13aa-ec1.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Fkp73.sys');
     DeleteFile('C:\WINDOWS\system32\Drivers\ntio922.sys');
     DeleteFile('C:\WINDOWS\system32\Drivers\ndisaluo.sys');
     DeleteFile('C:\DOCUME~1\HOOVER~1\LOCALS~1\Temp\loader.exe');
     DeleteFile('C:\Documents and Settings\HooverCraft\Local Settings\Application Data\loads_lamo.exe');
     DeleteFile('WLCtrl32.dll');
     DeleteFile('kdmhg.exe');
     DeleteFile('c:\windows\system32\comctl32.dll:_rc_db_5.1.2600:$DATA');
     DeleteFile('c:\windows\system32\comctl32.dll:_rc_db_sec_obj:$DATA');
     DeleteFile('C:\WINDOWS\system32\comctl32.dll:_rc_db_5.1.2600:$DATA');
     DeleteFile('C:\WINDOWS\system32\comctl32.dll:_rc_db_sec_obj:$DATA');
     DeleteFile('C:\WINDOWS\system32\dllcache\comctl32.dll:_rc_db_5.1.2600:$DATA');
     DeleteFile('C:\WINDOWS\system32\dllcache\comctl32.dll:_rc_db_sec_obj:$DATA');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    пришлите карантин согласно приложения 3 правил ...
    повторите логи ...

  6. #5
    Junior Member Репутация
    Регистрация
    10.10.2007
    Сообщений
    38
    Вес репутации
    34
    скачал icesworld, нашёл этот файл, вроде удалил, антиспаи удалил, скрипт выполнил, но теперь при запуске мне винда пишет что explorer.exe не удаётся запуститься, т.к. не найден какой-то файл.... пишу уже с другой винды.
    карантин выслал.
    Вложения Вложения

  7. #6
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1497
    логи тоже сдругой винды .. ? смысла в них нет ...
    на какой файл ругается ?

  8. #7
    Junior Member Репутация
    Регистрация
    10.10.2007
    Сообщений
    38
    Вес репутации
    34
    логи с другой винды, но я в авз отметил тот hdd, на котором установлена проблемная винда.
    у файла длинное имя, минуточку...

  9. #8
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1497
    нет так логи не делают ... это не то ...

  10. #9
    Junior Member Репутация
    Регистрация
    10.10.2007
    Сообщений
    38
    Вес репутации
    34
    пишет, что explorer.exe не удалось найти компонент... приложению не удалось запуститься, т.к. файл comctl32.dll:_vc_db_51_2000 не был найден.
    логи попробую сделать в safe mode.

    Добавлено через 6 минут

    увы, в safe mode такая же проблема: не загружается винда.
    поправка небольшая: имя файла - comctl32.dll:_vc_db_51_2600
    Последний раз редактировалось yevgeny; 24.03.2008 в 11:20. Причина: Добавлено

  11. #10
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1497
    в карантине только ...
    C:\WINDOWS\system32\w32sys15.exe Trojan.Agent.AGRM ...
    попробуйте загрузить последнюю рабочую конфигурацию ...

  12. #11
    Junior Member Репутация
    Регистрация
    10.10.2007
    Сообщений
    38
    Вес репутации
    34
    попробовал, всё равно не загружается и просит этот файл. если я новый comctl32.dll скопирую в /system32, это мне что-то даст? как-то ещё можно решить эту проблему или винду на снос?

  13. #12
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1497
    накатите винду в режиме восстановления ... должно помочь ...
    затем сделайте логи ..

  14. #13
    Junior Member Репутация
    Регистрация
    10.10.2007
    Сообщений
    38
    Вес репутации
    34
    простите за глупый вопрос, а это как? просто у меня восстановление системы на той винде было отключено, т.к. того требовало лечение.

  15. #14
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1497
    это ... запустите установку windows ... вам будет задан вопрос - установить в новую папку и ли восстановить копию виндовс .... выбираете поврежденный ....

  16. #15
    Junior Member Репутация
    Регистрация
    10.10.2007
    Сообщений
    38
    Вес репутации
    34
    простите за ламерство, но если Вы имеете ввиду установку виндоус с диска, то там нет опции восстановления. по крайней мере найти я её не смог.

  17. #16
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1497

  18. #17
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,552
    Вес репутации
    942

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 1
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\windows\\system32\\w32sys15.exe - Trojan.PHP.Turame.a (DrWEB: Trojan.Roro)


  • Уважаемый(ая) yevgeny, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Вирусы атакуют (Кам)
      От Delion в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 16.10.2010, 23:35
    2. Вирусы атакуют!
      От nafany в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 18.02.2010, 23:23
    3. ВИрусы атакуют
      От zovinc в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 18.12.2009, 14:50
    4. Вирусы атакуют.. :(
      От Igor1 в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 17.12.2009, 17:22
    5. Вирусы атакуют
      От bol в разделе Помогите!
      Ответов: 12
      Последнее сообщение: 22.02.2009, 05:09

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01439 seconds with 21 queries