Антивирусов нет. После посиделок в интете начались траблы, не могу запустить exe, только через пользователя.
почитал форум нашел похожую проблемму, попробовал совет из того форума, в АВЗ востановление, но у меня ломается..
спасибо за раннее
Антивирусов нет. После посиделок в интете начались траблы, не могу запустить exe, только через пользователя.
почитал форум нашел похожую проблемму, попробовал совет из того форума, в АВЗ востановление, но у меня ломается..
спасибо за раннее
Отключите восстановление системы!
Пофиксите в HijackThis:
Не перезагружаясь после фикса, выполните скрипт в AVZ:Код:O4 - HKLM\..\Run: [ntuser] C:\WINDOWS\system32\drivers\spools.exe O4 - HKLM\..\Run: [autoload] C:\Documents and Settings\red\cftmon.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKCU\..\Run: [svcshare] C:\WINDOWS\system32\drivers\svchast.exe O4 - HKCU\..\Run: [ntuser] C:\WINDOWS\system32\drivers\spools.exe O4 - HKCU\..\Run: [autoload] C:\Documents and Settings\red\cftmon.exe O20 - Winlogon Notify: WLCtrl32 - C:\WINDOWS\SYSTEM32\WLCtrl32.dll
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); StopService('Pwd53'); SetServiceStart('Pwd53', 4); QuarantineFile('C:\WINDOWS\system32\drivers\svchast.exe',''); QuarantineFile('C:\WINDOWS\SYSTEM32\WLCtrl32.dll',''); QuarantineFile('C:\GH0ST.exe',''); QuarantineFile('C:\autorun.inf',''); QuarantineFile('C:\WINDOWS\system32\drivers\symavc32.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Pwd53.sys',''); QuarantineFile('C:\WINDOWS\system32\drivers\spools.exe',''); QuarantineFile('C:\WINDOWS\system32\Drivers\ndisaluo.sys',''); QuarantineFile('C:\WINDOWS\system32\Drivers\Pwd53.sys',''); DeleteFile('C:\WINDOWS\system32\Drivers\Pwd53.sys'); DeleteFile('C:\WINDOWS\system32\Drivers\ndisaluo.sys'); DeleteFile('C:\WINDOWS\system32\drivers\spools.exe'); DeleteFile('C:\WINDOWS\System32\Drivers\Pwd53.sys'); DeleteFile('C:\WINDOWS\system32\drivers\symavc32.sys'); DeleteFile('C:\autorun.inf'); DeleteFile('C:\GH0ST.exe'); DeleteFile('D:\autorun.inf'); DeleteFile('D:\GH0ST.exe'); DeleteFile('C:\WINDOWS\SYSTEM32\WLCtrl32.dll'); DeleteFile('C:\WINDOWS\system32\drivers\svchast.exe'); BC_ImportALL; BC_DeleteSvc('Pwd53'); ExecuteSysClean; ExecuteRepair(1); ExecuteRepair(6); BC_Activate; RebootWindows(true); end.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=21068).
Сделайте новые логи.
Последний раз редактировалось Bratez; 06.04.2008 в 12:54.
I am not young enough to know everything...
фАЙЛ ЗАКАЧАЛ НО ЕСТЬ НЮАНС, ТАКОЕ ОЩУЩЕНИЕ, ЧТО НАДО БУДЕТ ПОВТОРИТЬ МАНИПУЛЯЦИЮ С ОТКЛЮЧЕНИЕМ, ВОСТАНОВЛЕНИЯ СИСТЕМЫ. Как вызвать своиства моего компьютера, упираюсь в rundll32.exe
Результат загрузки
Файл сохранён как080405_070931_virus_47f76bfb14d7e.zipРазмер файла91568MD5c09e12ff4123da537db19c35c0644bc1Файл закачан, спасибо!
Давайте новые логи, посмотрим, что осталось.
I am not young enough to know everything...
Доброго утра.
Вот собрал логи, только опять же не удалось отключить в винде согласно пункту 7.
Что происходит при попытке отключать восст. системы?
I am not young enough to know everything...
Проблемма в том, что я не могу туда добраться, по инструкции. Приходится использовать комб: WIN-E. А далле при попытке вызвать на ярлыке мой компьютер своиств, выдает ошибку связанную с rundll32.exe
Попробуйте выполнить скрипт из сообщения #2 в безопасном режиме (я его чуть-чуть подправил). При перезагрузке снова входите в безопасный и отключайте восстановление, надеюсь это получится. Затем перезагрузитесь в обычный режим и сделайте новые логи.
Добавлено через 1 минуту
И еще - при выполнении скрипта выходит сообщение "Скрипт выполнен без ошибок" или нет?
Последний раз редактировалось Bratez; 06.04.2008 в 12:57. Причина: Добавлено
I am not young enough to know everything...
В безопасном режиме к сожалению АВЗ вообще не смог запуститься!
присоединенное к системе устроитсво не работает.
Вы АВЗ с внешнего носителя запускаете?
нет! запускаю с логического диска D. винчестер один. ума не приложу
Так а что пишет в защищённом режиме (при запуске АВЗ)?
вот что пишет:
присоединенное к системе устроитсво не работает.
Выполните такой скрипт:
после перезагрузки приложите сюда файл boot_clr.log из папки с AVZ.Код:begin RegKeyIntParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Hardware Profiles\0001\System\CurrentControlSet\Enum\ROOT\LEGACY_Pwd53\0000', 'CSConfigFlags', '1'); BC_QrFile('C:\WINDOWS\System32\drivers\Pwd53.sys'); BC_DeleteSvc('Pwd53'); BC_DeleteFile('C:\WINDOWS\System32\drivers\Pwd53.sys'); BC_LogFile(GetAVZDirectory + 'boot_clr.log'); BC_Activate; RebootWindows(true); end.
Если вдруг система не загрузится - по F8 выбирайте "Последнюю удачную конфигурацию".
I am not young enough to know everything...
скрипт выполнил а файла не создается.
В перезагрузку пришлось пускать вручную...
Теперь выполните снова фикс и скрипт из сообщения #2
и сделайте логи, начиная с п.10 правил.
I am not young enough to know everything...
запустил указания сообщения №2. вот лог запуска в АВЗ
Сейчас перезагружусь и выполню с 10 пункта правил.
вот логи по правилам.
1. Скачайте эту программу:
http://mail.ustc.edu.cn/~jfpan/downl...Sword122en.zip
Распакуйте, запустите, слева внизу File,
найдите C:\WINDOWS\System32\drivers\Pwd53.sys
и сделайте ему Force Delete.
2. Выполните скрипт в AVZ:
3. Попробуйте таки отключить восстановление системы.Код:begin BC_DeleteSvc('symavc32'); BC_DeleteSvc('Mwqk68'); BC_DeleteSvc('Pwd53'); BC_DeleteSvc('Schedule'); BC_DeleteFile('C:\WINDOWS\system32\Drivers\ndisaluo.sys'); BC_DeleteFile('C:\WINDOWS\system32\Drivers\Pwd53.sys'); BC_DeleteFile('C:\WINDOWS\system32\drivers\spools.exe'); BC_Activate; ExecuteRepair(1); ExecuteRepair(6); RebootWindows(true); end.
4. Повторите лог syscheck (п.10 правил).
I am not young enough to know everything...
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 6
- В ходе лечения обнаружены вредоносные программы:
- c:\\gh0st.exe - Worm.Win32.Fujack.ca (DrWEB: Win32.HLLW.Whboy)
- c:\\windows\\system32\\drivers\\svchast.exe - Worm.Win32.Fujack.ca (DrWEB: Win32.HLLW.Whboy)
- c:\\windows\\system32\\wlctrl32.dll - Trojan-Downloader.Win32.Mutant.da (DrWEB: Trojan.DownLoader.54123)
- d:\\gh0st.exe - Worm.Win32.Fujack.ca (DrWEB: Win32.HLLW.Whboy)
Уважаемый(ая) redfast23, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.