-
Junior Member
- Вес репутации
- 59
Вирус убил важную службу...
После установки доктора веба почистил комп от "вирей" но не обошлось без последствий...
Путь
С:\win\system32\drivers\nkv2.sys (Trojan.NtRootkit.994
именно он сидит там.)
каждый раз при загрузки винды антивирус ругается что он заражен,лечить и запретить доступ не помогает.
Так же не могу после чистки включить службу "Диспетчер подключений удаленного доступа". Ошибка "запрещен доступ"
Было бы все просто если бы не установленая на компе 1с и т.п. программы,и множество настроек так же не дают со спокойной душой снести винду.
Может быть кто поможет или подскажет возможно ли что либо сделать в этой ситуации не убиваю винду ?
Последний раз редактировалось elpago; 31.07.2009 в 14:48.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Отключите интернет и антивирус на время выполнения скрипта.
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\cssrss.exe','');
QuarantineFile('C:\DOCUME~1\nastya\LOCALS~1\Temp\loader.exe','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Ytx66.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Ybn81.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Xiu35.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\nkv2.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Vim34.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Rok56.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Rna70.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Mul68.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Mpc33.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Mie46.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Hry06.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Fhp06.sys','');
QuarantineFile('C:\WINDOWS\system32\WLCtrl32.dll','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Bpn34.sys','');
DeleteFile('C:\WINDOWS\System32\Drivers\Bpn34.sys');
DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll');
DeleteFile('C:\WINDOWS\System32\Drivers\Fhp06.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Hry06.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Mie46.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Mpc33.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Mul68.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Rna70.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Rok56.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Vim34.sys');
DeleteFile('C:\WINDOWS\system32\drivers\nkv2.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Xiu35.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Ybn81.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Ytx66.sys');
DeleteFile('C:\DOCUME~1\nastya\LOCALS~1\Temp\loader.exe');
DeleteFile('C:\WINDOWS\system32\cssrss.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=21668).
Сделайте новые логи, начиная с п.10 правил.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 59
прикрепляю новые логи...
Архив с вирусом отправил по вашей ссылке.
Последний раз редактировалось elpago; 31.07.2009 в 14:48.
-
выполните скрипт ...
Код:
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
BC_QrSvc('vsdatant');
BC_DeleteSvc('Lhd35');
BC_DeleteSvc('Fae25');
BC_DeleteSvc('Ava67');
DeleteFile('C:\WINDOWS\System32\Drivers\Ava67.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Fae25.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Lhd35.sys');
DeleteFile('WLCtrl32.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
пришлите карантин согласно приложения 3 правил ...
повторите логи ...
-
-
Пофиксите в HijackThis:
Код:
O20 - Winlogon Notify: WLCtrl32 - WLCtrl32.dll (file missing)
Логи можно начиная с п.10 правил.
Добавлено через 3 минуты
По поводу восстановления Диспетчера... -
http://virusinfo.info/showpost.php?p=216775&postcount=4
Последний раз редактировалось Bratez; 17.04.2008 в 16:40.
Причина: Добавлено
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 59
Новые логи...
Архив с вирусом так же отправил.
Последний раз редактировалось elpago; 31.07.2009 в 14:48.
-
Junior Member
- Вес репутации
- 59
Спасибо большое добрые люди все сделал,все работает...
Вы лучшие !!!
-
-
-
Junior Member
- Вес репутации
- 59
Добрый день, комьютеру опять не имется сразу после включения др веб блокирует какойто вирус.Ко всему этому в поставленом недавно файрволе несколько процессов на вообще левые адреса(он их не блокирует).
С утра видел сообщение от веба что обнаружил какойто троян.прокси(не помню точно полное название виря , тупо нажал лечить - он его удалил).
Посмотрите пожалуйста логи...
Последний раз редактировалось elpago; 31.07.2009 в 14:48.
-
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\TEMP\winlogon.exe','');
QuarantineFile('C:\WINDOWS\system32\baseouqwr32.dll','');
DeleteFile('C:\WINDOWS\TEMP\winlogon.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке:http://virusinfo.info/upload_virus.php?tid=21668
Затем такой скрипт:
Код:
procedure ParseString (S : TStringList; SS : String; SSS : String );
var i,l : integer;
begin
i := Pos(SSS,SS); l := Length(ss);
If l > 1 Then begin If i=0 Then S.Add(ss); If i>0 Then begin
s.Add(Copy(ss,1,i-1)); ParseString(S,Copy(ss,i+1,l-i+1),SSS) end; end;
end;
var SL,SF : TStringList; SS, SSS : String; i : integer;
begin
SS := ''; SSS := ''; SL := TStringList.Create; SF := TStringList.Create;
SS := RegKeyStrParamRead ('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems','Windows');
ParseString (SL,SS,' ');
for i := 0 to SL.Count - 1 do Begin
SS := SL[i];
If Pos('ServerDll=base',SS) > 0 Then Begin
If SS <> 'ServerDll=basesrv,1' Then Begin
AddToLog('Infected "SubSystem" value : ' + SS);
if MessageDLG('Fix "SybSustem" parametrs ?', mtConfirmation, mbYes+mbNo, 0) = 6 then Begin
SSS := SL[i]; SL[i] := 'ServerDll=basesrv,1'; AddToLog('User select "Fix" option.'); end;
end;
end;
end;
SS := ''; for i := 0 to SL.Count - 1 do Begin SS := SS + SL[i]; If SL.Count - 1 > i Then SS := SS + ' '; end;
If SSS <> '' Then Begin
i := Pos(',',SSS); If i = 0 Then i := Length(SSS);
SSS := Copy(SSS, Pos('=',SSS) + 1, i - Pos('=',SSS)-1);
AddToLog('Infection name : ' + SSS + '.dll');
SetAVZGuardStatus(True);
If FileExists('%WinDir%' + '\system32\' + SSS + '.dll') = true then DeleteFile('%WinDir%' + '\system32\' + SSS + '.dll');
RegKeyParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems', 'Windows', 'REG_EXPAND_SZ', SS);
SaveLog(GetAVZDirectory + 'SubSystems.log');
RebootWindows(false);
end;
SL.Free; SF.Free;
End.
Очистите временные папки и повторите логи.
-
-
Можно еще пофиксить для порядка:
Код:
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe (file missing)
O20 - Winlogon Notify: WLCtrl32 - C:\WINDOWS\
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 59
Последний раз редактировалось elpago; 31.07.2009 в 14:48.
-
Пофиксить
Код:
O20 - Winlogon Notify: WLCtrl32 - C:\WINDOWS\
В логах чисто,жалобы есть?
-
-
Junior Member
- Вес репутации
- 59
Жалоб нет, антивирус молчит...спасибо вам
Ещё уточнить хотел на счет последнего сообщения
O20 - Winlogon Notify: WLCtrl32 - C:\WINDOWS\
что тут сделать нужно?
-
Нажмите на слово "Пофиксить" и сразу все поймете
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 3
- Обработано файлов: 5
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\system32\\baseouqwr32.dll - Trojan.Win32.SubSys.dk (DrWEB: Trojan.Okuks.based)
- c:\\windows\\system32\\wlctrl32.dll - Trojan-Downloader.Win32.Agent.nhp (DrWEB: Trojan.DownLoader.57335)
- c:\\windows\\temp\\winlogon.exe - SpamTool.Win32.Agent.is (DrWEB: Trojan.Spambot.2496)
-