Принесли комп.
А там какая-то фигня твориться
Вообщем стоял NOD32.
AVZ кое-как запустил.
Постоянно закрывалось окно
Принесли комп.
А там какая-то фигня твориться
Вообщем стоял NOD32.
AVZ кое-как запустил.
Постоянно закрывалось окно
Ну и помойка,готовтесь к бою
Отключите восстановление системы,антивирус(если вообще есть) и интернет!
Скачать,меню,File,появится аналог проводника,найти:
правая кнопка мыши Force Delete на запрос о перезагрузке ответьте положительно.Код:C:\WINDOWS\system32\WinCtrl32.dll C:\WINDOWS\system32\Drivers\Winag17.sys C:\WINDOWS\system32\Drivers\Yad11.sys
Пофиксить
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".Код:F2 - REG:system.ini: Shell=Explorer.exe "C:\Documents and Settings\Администратор\Рабочий стол\inbt684.exe" F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\drivers\services.exe O2 - BHO: Microsoft copyright - {FFFFFFFF-BBBB-4146-86FD-A722E8AB3489} - sockots64.dll (file missing) O4 - HKUS\S-1-5-18\..\Run: [winlogon] C:\Documents and Settings\LocalService\svchost.exe (User 'SYSTEM') O4 - Startup: userinit.exe O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1 O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.115.74 85.255.112.8 O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.115.74 85.255.112.8 O17 - HKLM\System\CS3\Services\Tcpip\Parameters: NameServer = 85.255.115.74 85.255.112.8 O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.115.74 85.255.112.8 O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\SYSTEM32\WinCtrl32.dll O21 - SSODL: UpdateCheck - {DC87B8AC-FB65-4285-81CB-E5495B1D4173} - (no file) O21 - SSODL: WebProxy - {66186F05-BBBB-4a39-864F-72D84615C679} - sockots64.dll (file missing)
После выполнения скрипта компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); TerminateProcessByName('c:\windows\system32\drivers\services.exe'); TerminateProcessByName('c:\documents and settings\Администратор\ie_updates3r.exe'); SetServiceStart('Google Online Services', 4); StopService('Google Online Services'); QuarantineFile('C:\WINDOWS\system32\windfire.exe',''); QuarantineFile('C:\WINDOWS\system32\nvidia32.exe',''); QuarantineFile('kdhly.exe',''); QuarantineFile('WinCtrl32.dll',''); QuarantineFile('C:\Documents and Settings\Администратор\Рабочий стол\inbt684.exe',''); QuarantineFile('C:\WINDOWS\system32\shell64.dll',''); QuarantineFile('C:\WINDOWS\helloserv.exe',''); QuarantineFile('C:\Documents and Settings\Администратор\Главное меню\Программы\Автозагрузка\userinit.exe',''); QuarantineFile('C:\Documents and Settings\LocalService\svchost.exe',''); QuarantineFile('c:\huadio.tmp',''); QuarantineFile('C:\WINDOWS\system32\Drivers\Yad11.sys ',' '); QuarantineFile('C:\WINDOWS\system32\drivers\ssmion.sys',''); QuarantineFile('Yad11.sys',''); QuarantineFile('C:\WINDOWS\system32\Drivers\Winag17.sys',''); QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll',''); QuarantineFile('C:\WINDOWS\system32\sockots64.dll',''); QuarantineFile('C:\WINDOWS\system32\ftp34.dll',''); QuarantineFile('c:\windows\system32\drivers\services.exe',''); QuarantineFile('c:\documents and settings\Администратор\ie_updates3r.exe',''); DeleteService('Winag17'); DeleteService('Schedule'); DeleteService('Yad11 '); DeleteService('Google Online Services'); DeleteService('autorun'); DeleteFile('c:\documents and settings\Администратор\ie_updates3r.exe'); DeleteFile('c:\windows\system32\drivers\services.exe'); DeleteFile('C:\WINDOWS\system32\ftp34.dll'); DeleteFile('C:\WINDOWS\system32\sockots64.dll'); DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll'); DeleteFile('C:\WINDOWS\system32\Drivers\Yad11.sys '); DeleteFile('C:\WINDOWS\system32\Drivers\Winag17.sys'); DeleteFile('Yad11.sys'); DeleteFile('c:\huadio.tmp'); DeleteFile('C:\Documents and Settings\LocalService\svchost.exe'); DeleteFile('C:\Documents and Settings\Администратор\Главное меню\Программы\Автозагрузка\userinit.exe'); DeleteFile('C:\WINDOWS\helloserv.exe'); DeleteFile('C:\WINDOWS\system32\shell64.dll'); DeleteFile('C:\Documents and Settings\Администратор\Рабочий стол\inbt684.exe'); DeleteFile('WinCtrl32.dll'); DeleteFile('kdhly.exe'); DeleteFile('sockots64.dll'); DeleteFile('C:\WINDOWS\system32\kdhly.exe '); DeleteFile('C:\WINDOWS\system32\nvidia32.exe'); DeleteFile('C:\WINDOWS\system32\windfire.exe'); DelBHO('{FFFFFFFF-BBBB-4146-86FD-A722E8AB3489}'); BC_ImportALL; ExecuteSysClean; BC_DeleteSvc('Winag17 '); BC_DeleteSvc('Schedule '); BC_DeleteSvc('Yad11 '); BC_DeleteSvc('Google Online Services '); BC_DeleteSvc('autorun '); BC_Activate; ExecuteRepair(1 ); ExecuteRepair(6 ); ExecuteRepair(11 ); ExecuteRepair(17 ); RebootWindows(true); end.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке:http://virusinfo.info/upload_virus.php?tid=24677
Очистите временные папки,кеш браузера и повторите логи.
Все сделал
Правда после ребута я замучился запускать AVZ
Скачал рекомендованный в этой теме
Файл сохранён как 080616_065359_virus_485654577fa64.zip
Размер файла 268950
MD5 e81737e065dd7adb4ec727fac0990e6d
выполните скрипт ....
пришлите крантин согласно приложения 3 правил ...Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\nvidia32.exe',''); QuarantineFile('C:\Documents and Settings\Администратор\Главное меню\Программы\Автозагрузка\userinit.exe',''); QuarantineFile('C:\Documents and Settings\Администратор\Главное меню\Программы\Автозагрузка\officexp.exe',''); BC_DeleteSvc('Yad11'); BC_DeleteSvc('Winag17'); QuarantineFile('C:\WINDOWS\system32\drivers\ssmion.sys',''); QuarantineFile('C:\WINDOWS\System32\drivers\svchost.exe',''); QuarantineFile('C:\Documents and Settings\Администратор\ftp34.dll',''); QuarantineFile('c:\windows\system32\syskernel.exe',''); QuarantineFile('c:\windows\system32\drivers\svchost.exe',''); QuarantineFile('c:\documents and settings\Администратор\svchost.exe',''); DeleteFile('c:\documents and settings\Администратор\svchost.exe'); DeleteFile('c:\windows\system32\syskernel.exe'); DeleteFile('C:\Documents and Settings\Администратор\ftp34.dll'); DeleteFile('C:\WINDOWS\System32\drivers\svchost.exe'); DeleteFile('C:\WINDOWS\system32\drivers\ssmion.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winag17.sys'); DeleteFile('Yad11.sys'); DeleteFile('C:\Documents and Settings\Администратор\svchost.exe'); DeleteFile('C:\Documents and Settings\Администратор\Главное меню\Программы\Автозагрузка\officexp.exe'); DeleteFile('C:\WINDOWS\system32\drivers\services.exe'); DeleteFile('C:\WINDOWS\system32\syskernel.exe'); DeleteFile('C:\WINDOWS\system32\nvidia32.exe'); BC_ImportDeletedList; ExecuteSysClean; ExecuteRepair(1); BC_Activate; RebootWindows(true); end.
повторите логи ...
Последний раз редактировалось V_Bond; 16.06.2008 в 17:03.
Файл сохранён как 080616_080057_virus_48566409357be.zip
Размер файла 3946
MD5 bc18f92d795ce7b4e682ba426bb1d2e8
выполните скрипт ....
повторите логи начиная с пункта 10 правил ...Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DelCLSID('66186F05-BBBB-4a39-864F-72D84615C679'); DeleteFile('c:\documents and settings\Администратор\Главное меню\Программы\Автозагрузка\userinit.exe'); DeleteFile('C:\WINDOWS\system32\ftp34.dll'); DeleteFile('C:\WINDOWS\system32\drivers\ssmion.sys'); DeleteFile('C:\Documents and Settings\Администратор\svchost.exe'); DeleteFile('C:\WINDOWS\system32\drivers\services.exe'); DeleteFile('sockots64.dll'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Сделал
пофиксите ....
выполните скрипт ....Код:O2 - BHO: (no name) - {FFFFFFFF-BBBB-4146-86FD-A722E8AB3489} - (no file) O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\ O21 - SSODL: WebProxy - {66186F05-BBBB-4a39-864F-72D84615C679} - (no file)
повторите virusinfo_syscheck.zipКод:begin SearchRootkit(true, true); SetAVZGuardStatus(true); DeleteFile('C:\WINDOWS\system32\drivers\services.exe'); DeleteFile('C:\WINDOWS\system32\drivers\ssmion.sys'); BC_DeleteSvc('aic32p'); BC_ImportDeletedList; ExecuteRepair(1); BC_Activate; ExecuteSysClean; RebootWindows(true); end.
Сделал
в IceSword C:\WINDOWS\system32\drivers\ssmion.sys - - force delete
повторите virusinfo_syscheck.zip
Нету файлика такого
Поиск так-же не дал результата
пункт 2 правил выполнялся ?
Изночально нет.
выполняйте ...
В safe mode не грузиться
Уходит в ребут
А загрузчика с диска нет под рукой
выполните скрипт ....
попробуйте загрузиться в safe modeКод:begin ExecuteRepair(10); RebootWindows(true); end.
Все сделал.
Волосы на голове стояли дыбом
Логи ниже
выполните скрипт ....
повторите virusinfo_syscheck.zipКод:begin SearchRootkit(true, true); SetAVZGuardStatus(true); DeleteFile('C:\WINDOWS\system32\drivers\ssmion.sys'); BC_DeleteSvc('aic32p'); BC_ImportDeletedList; BC_Activate; ExecuteSysClean; RebootWindows(true); end.
Сделал
Скажите пожалуйста у меня все, или что-то надо делать?
Добавлено через 4 часа 19 минут
Есть тут кто живой?
Последний раз редактировалось Nail69; 18.06.2008 в 16:19. Причина: Добавлено
Уважаемый(ая) Nail69, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.