Показано с 1 по 13 из 13.

Рассадник. Заставка Warning...,Не открывается диск С, перезагрузка.. (заявка № 26229)

  1. #1
    Junior Member Репутация
    Регистрация
    10.07.2008
    Сообщений
    7
    Вес репутации
    31

    Exclamation Рассадник. Заставка Warning...,Не открывается диск С, перезагрузка..

    Помогите пожалуйста, на нровой работе целый рассадник вирусов. Вот этот скрипт "Файл"=>"Стандартные скрипты" и поставьте галку напротив "Скрипт лечения/карантина и сбора информации для раздела "Помогите!" virusinfo.info" выполнить не смог, так как комп сразу перегружается.
    Последний раз редактировалось KaZantipA; 10.07.2008 в 12:35. Причина: логи добавляю

  2. Реклама
     

  3. #2
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    Сделайте логи хотя бы начиная с п.10 правил.
    I am not young enough to know everything...

  4. #3
    Junior Member Репутация
    Регистрация
    10.07.2008
    Сообщений
    7
    Вес репутации
    31
    не могу добавить пишет (

    KaZantipA, вы не имеете прав для доступа к этой странице. Это может быть вызвано несколькими причинами:

    Ваш аккаунт имеет недостаточно прав для доступа к этой странице. Вы пытаетесь редактировать чье-то сообщение, использовать административные полномочия или прочие опции ограниченного доступа?
    Вы пытаетесь написать сообщение, но ваш аккаунт отключен администрацией или ожидает активации.

    Добавлено через 1 минуту

    может добавить их как Прислать запрошенный карантин ?
    Последний раз редактировалось KaZantipA; 10.07.2008 в 12:39. Причина: Добавлено

  5. #4
    Junior Member Репутация
    Регистрация
    10.07.2008
    Сообщений
    7
    Вес репутации
    31
    вот они )
    Вложения Вложения

  6. #5
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('D:\autorun.inf','');
     QuarantineFile('C:\autorun.inf','');
     QuarantineFile('C:\WINDOWS\system32\amvo1.dll','');
     QuarantineFile('C:\WINDOWS\system32\amvo0.dll','');
     QuarantineFile('c:\windows\system32\mstmdm.dll','');
     QuarantineFile('c:\documents and settings\all users\documents\settings\arm32.dll','');
     QuarantineFile('C:\Program Files\VirtualNetwork\VirtualNetwork.dll','');
     QuarantineFile('C:\WINDOWS\system32\blphcleaj0e9da.scr','');
     QuarantineFile('C:\WINDOWS\system32\Drivers\Winin40.sys','');
     QuarantineFile('C:\WINDOWS\system32\Drivers\Twwx80.sys','');
     QuarantineFile('C:\WINDOWS\system32\Drivers\Ejo37.sys','');
     QuarantineFile('C:\WINDOWS\winhlep.exe','');
     QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll','');
     QuarantineFile('C:\WINDOWS\system32\mstmdm.dll','');
     QuarantineFile('C:\WINDOWS\system32\lphcleaj0e9da.exe','');
     QuarantineFile('C:\WINDOWS\system32\ffqsnljc.dll','');
     QuarantineFile('C:\WINDOWS\services.exe','');
     QuarantineFile('C:\Program Files\BitAccelerator\BitAccelerator.dll','');
     QuarantineFile('C:\Documents and Settings\All Users\Documents\Settings\arm32.dll','');
     DeleteFile('C:\Documents and Settings\All Users\Documents\Settings\arm32.dll');
     DeleteFile('C:\WINDOWS\services.exe');
     DeleteFile('C:\WINDOWS\system32\ffqsnljc.dll');
     DeleteFile('C:\WINDOWS\system32\lphcleaj0e9da.exe');
     DeleteFile('C:\WINDOWS\system32\mstmdm.dll');
     DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
     DeleteFile('C:\WINDOWS\winhlep.exe');
     DeleteFile('C:\WINDOWS\system32\Drivers\Ejo37.sys');
     DeleteFile('C:\WINDOWS\system32\Drivers\Twwx80.sys');
     DeleteFile('C:\WINDOWS\system32\Drivers\Winin40.sys');
     DeleteFile('C:\WINDOWS\system32\blphcleaj0e9da.scr');
     DeleteFile('c:\documents and settings\all users\documents\settings\arm32.dll');
     DeleteFile('c:\windows\system32\mstmdm.dll');
     DeleteFile('C:\WINDOWS\system32\amvo0.dll');
     DeleteFile('C:\WINDOWS\system32\amvo1.dll');
     DeleteFile('C:\autorun.inf');
     DeleteFile('D:\autorun.inf');
    BC_ImportDeletedList;
    ExecuteSysClean;
     BC_DeleteSvc('Winhm15');
     BC_DeleteSvc('tcpsr');
     BC_DeleteSvc('Ins50');
     BC_DeleteSvc('bgL26');
     BC_DeleteSvc('Winin40');
     BC_DeleteSvc('Ejo37');
     BC_DeleteSvc('WZCSVCsrservice');
     BC_DeleteSvc('WZCSVCSCardSvr');
     BC_DeleteSvc('WZCSVCMSIServerBrowser');
     BC_DeleteSvc('wscsvcVSS');
     BC_DeleteSvc('WmdmPmSNNlaWebClient');
     BC_DeleteSvc('winmgmtCiSvcMDM');
     BC_DeleteSvc('winmgmtCiSvc');
     BC_DeleteSvc('WebClientTapiSrv');
     BC_DeleteSvc('W32TimeNla');
     BC_DeleteSvc('UPSBITS');
     BC_DeleteSvc('TermServiceEventlogNtmsSvc');
     BC_DeleteSvc('TermServiceEventlog');
     BC_DeleteSvc('TapiSrvFastUserSwitchingCompatibility');
     BC_DeleteSvc('SwPrvWmi');
     BC_DeleteSvc('SSDPSRVWZCSVCTermServiceEventlog');
     BC_DeleteSvc('SSDPSRVWZCSVC');
     BC_DeleteSvc('ShellHWDetectionTrkWks');
     BC_DeleteSvc('SENSDhcpW32TimeNla');
     BC_DeleteSvc('SENSDhcp');
     BC_DeleteSvc('Schedulewuauserv');
     BC_DeleteSvc('PlugPlayRDSessMgr');
     BC_DeleteSvc('NlaWebClientTrkWks');
     BC_DeleteSvc('NlaWebClient');
     BC_DeleteSvc('NetmanMessenger');
     BC_DeleteSvc('MSIServerBrowser');
     BC_DeleteSvc('MDMShellHWDetection');
     BC_DeleteSvc('lanmanworkstationSamSsShellHWDetection');
     BC_DeleteSvc('lanmanworkstationSamSs');
     BC_DeleteSvc('IDriverT');
     BC_DeleteSvc('EventSystemlanmanworkstation');
     BC_DeleteSvc('DhcpNetDDE');
     BC_DeleteSvc('Dhcpmnmsrvc');
     BC_DeleteSvc('DhcpBrowserAppMgmtShellHWDetection');
     BC_DeleteSvc('CiSvcShellHWDetection');
     BC_DeleteSvc('CiSvcNtmsSvc');
     BC_DeleteSvc('CiSvcLmHosts');
     BC_DeleteSvc('BrowserMDM');
     BC_DeleteSvc('BrowserAppMgmtShellHWDetection');
     BC_DeleteSvc('AppMgmtShellHWDetection');
     BC_DeleteSvc('AlerterWmiApSrvNtmsSvc');
     BC_DeleteSvc('AlerterWmiApSrv');
    BC_Activate;
    ExecuteRepair(5);
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Пришлите карантин согласно приложению 3 правил
    (загружать тут: http://virusinfo.info/upload_virus.php?tid=26229).
    Сделайте новые логи, желательно все три.
    I am not young enough to know everything...

  7. #6
    Junior Member Репутация
    Регистрация
    10.07.2008
    Сообщений
    7
    Вес репутации
    31
    вот мои вложения

  8. #7
    Junior Member Репутация
    Регистрация
    10.07.2008
    Сообщений
    7
    Вес репутации
    31
    вот они, припрезагрузки заставка с той надписью все равно видна
    NHSRVW32 - это менеджер лицензий для 1с
    Вложения Вложения

  9. #8
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,463
    Вес репутации
    2495
    Тут пока еще кое-что другое осталось.
    Сначала эту гадость добьем.

    Добавлено через 2 минуты

    Скачиваем Icesword. В нем через file находим и удаляем:
    Код:
    C:\WINDOWS\system32\WinCtrl32.dll
    C:\WINDOWS\system32\Drivers\Winin40.sys
    Затем строчку с C:\WINDOWS\system32\WinCtrl32.dll
    надо профиксить в HijackThis.

    После этого будем выполнять скрипт:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('ffqsnljc.dll','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Winin40.sys','');
     DeleteService('Winin40');
     DeleteService('Ejo37');
     QuarantineFile('C:\WINDOWS\system32\Drivers\Winin40.sys','');
     QuarantineFile('C:\Program Files\VirtualNetwork\VirtualNetwork.dll','');
     QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll','');
     QuarantineFile('C:\Program Files\BitAccelerator\BitAccelerator.dll','');
     DeleteFile('C:\Program Files\BitAccelerator\BitAccelerator.dll');
     DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
     DeleteFile('C:\WINDOWS\system32\Drivers\Winin40.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Ejo37.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winin40.sys');
     DeleteFile('ffqsnljc.dll');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Ну, уже а после этого загрузить карантин и сделать новые логи.
    Последний раз редактировалось PavelA; 11.07.2008 в 14:17. Причина: Добавлено
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  10. #9
    Junior Member Репутация
    Регистрация
    10.07.2008
    Сообщений
    7
    Вес репутации
    31
    только я не могу комп из сети убрать, так как инет пропадет
    в сети 3 компа

    Добавлено через 2 минуты

    а можно ссылку на Iceword
    Последний раз редактировалось KaZantipA; 11.07.2008 в 14:18. Причина: Добавлено

  11. #10
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    Цитата Сообщение от KaZantipA Посмотреть сообщение
    а можно ссылку на Iceword
    http://mail.ustc.edu.cn/~jfpan/downl...Sword122en.zip
    I am not young enough to know everything...

  12. #11
    Junior Member Репутация
    Регистрация
    10.07.2008
    Сообщений
    7
    Вес репутации
    31
    карантин закинул, вот два лога
    Вложения Вложения

  13. #12
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,463
    Вес репутации
    2495
    Профиксить:
    Код:
    O2 - BHO: BitAccelerator module - {92860A02-4D69-48c1-82D7-EF6B2C609502} - C:\Program Files\BitAccelerator\BitAccelerator.dll (file missing)
    O20 - Winlogon Notify: arm32reg - C:\WINDOWS\
    O20 - Winlogon Notify: ffqsnljc - C:\WINDOWS\
    O20 - Winlogon Notify: WinCtrl32 - WinCtrl32.dll (file missing)
    O21 - SSODL: UpdateCheck - {FE26A053-038F-4538-9EAC-3CFB271CDB88} - (no file)
    Плюс еще кучу сервисов надо грохнуть.

    Добавлено через 4 минуты

    Вот этого через IceSword удалить:
    C:\WINDOWS\System32\Drivers\Ejo37.sys

    Далее скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     BC_DeleteSvc('Ejo37');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Ejo37.sys','');
     BC_DeleteSvc('WZCSVCsrserviceALG');
     BC_DeleteSvc('WebClientMSDTCWmdmPmSNNlaWebClient');
     BC_DeleteSvc('upnphostProtectedStorage');
     BC_DeleteSvc('RemoteAccessRasAuto');
     BC_DeleteSvc('RasAutoERSvc');
     BC_DeleteSvc('NetDDEEventSystem');
     BC_DeleteSvc('MSDTCWmdmPmSNNlaWebClient');
     BC_DeleteSvc('DcomLaunchTermServiceEventlogNtmsSvc');
     BC_DeleteSvc('CiSvcPolicyAgent');
     BC_DeleteSvc('CiSvcAlerter');
     DeleteFile('C:\WINDOWS\system32\Drivers\Ejo37.sys');
    BC_ImportDeletedList;
    ExecuteSysClean;
    ExecuteRepair(5);
    ExecuteRepair(6);
    BC_Activate;
    RebootWindows(true);
    end.
    Потом сделать новые логи.
    Последний раз редактировалось PavelA; 11.07.2008 в 15:30. Причина: Добавлено
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  14. #13
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,531
    Вес репутации
    940

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 23
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\documents and settings\\all users\\documents\\settings\\arm32.dll - Trojan-Proxy.Win32.Xorpix.bs (DrWEB: BackDoor.Bech)
      2. c:\\documents and settings\\glavbuh\\win.exe - Trojan-Downloader.Win32.Mutant.ob (DrWEB: Trojan.DownLoader.59056)
      3. c:\\program files\\bitaccelerator\\bitaccelerator.dll - not-a-virus:AdTool.Win32.BitAccelerator.m (DrWEB: Trojan.BitAcc.
      4. c:\\program files\\virtualnetwork\\virtualnetwork.dll - not-a-virus:AdTool.Win32.VirtualNetwork.a (DrWEB: Trojan.AdVirtualNetwork.2)
      5. c:\\windows\\services.exe - Trojan-Proxy.Win32.Small.qq (DrWEB: Trojan.Packed.573)
      6. c:\\windows\\system32\\amvo0.dll - Trojan-GameThief.Win32.OnLineGames.sxq (DrWEB: Trojan.PWS.Wsgame.3434)
      7. c:\\windows\\system32\\amvo1.dll - Trojan-GameThief.Win32.OnLineGames.sxq (DrWEB: Trojan.PWS.Wsgame.3434)
      8. c:\\windows\\system32\\drivers\\twwx80.sys - Rootkit.Win32.Agent.aag (DrWEB: Trojan.Spambot.2830)
      9. c:\\windows\\system32\\ffqsnljc.dll - Trojan.Win32.Pakes.czu (DrWEB: Trojan.Inject.3435)
      10. c:\\windows\\system32\\lphcleaj0e9da.exe - Trojan.Win32.FraudPack.abr (DrWEB: Trojan.Fakealert.950)
      11. c:\\windows\\system32\\mstmdm.dll - Trojan.Win32.Agent.bve (DrWEB: Win32.HLLW.Autoruner.280)
      12. c:\\windows\\system32\\winctrl32.dll - Trojan-Downloader.Win32.Mutant.akj (DrWEB: Trojan.Rntm.7)
      13. c:\\windows\\winhlep.exe - Backdoor.Win32.Hupigon.dsk (DrWEB: BackDoor.Netsata)


  • Уважаемый(ая) KaZantipA, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Ответов: 2
      Последнее сообщение: 01.03.2010, 18:00
    2. Ответов: 10
      Последнее сообщение: 22.02.2009, 07:17
    3. Ответов: 4
      Последнее сообщение: 22.02.2009, 06:26
    4. жесткий диск не открывается
      От nlb в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 22.02.2009, 03:32
    5. Ответов: 3
      Последнее сообщение: 20.08.2008, 16:04

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00457 seconds with 22 queries