nod32 vs winog.ck

**Dengal** · 28.07.2008, 12:31

Здравствуйте, nod32 находил Троянов – писал, что успешно удалял их, но впоследствии они вновь вылазили. В internet explorer постоянно пропадали картинки.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Rene-gad** · 28.07.2008, 12:42

Скачайте IceSword , поищите и удалите через опцию force delete файл:

Код:

C:\WINDOWS.0\System32\drivers\Winxd38.sys
C:\WINDOWS.0\system32\msvcrt64.dll

Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное востановление.
-Пофиксите

Код:

R3 - Default URLSearchHook is missing
F2 - REG:system.ini: UserInit=C:\WINDOWS.0\system32\userinit.exe,C:\WINDOWS.0\system32\ntos.exe,
O2 - BHO: C:\WINDOWS.0\system32\jdgf8edfsde.dll - {C5AF49A2-94F3-42BD-F434-3604812C897D} - C:\WINDOWS.0\system32\jdgf8edfsde.dll
O4 - HKLM\..\Run: [C:\WINDOWS.0\system32\kdxgh.exe] C:\WINDOWS.0\system32\kdxgh.exe
O4 - HKCU\..\Run: [HJdfke9kfdf] C:\DOCUME~1\ADMINI~1.TES\LOCALS~1\Temp\csrssc.exe
O4 - HKUS\S-1-5-19\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'NETWORK SERVICE')
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O17 - HKLM\System\CCS\Services\Tcpip\..\{27198140-7043-4E95-8061-7CBA63195EE5}: NameServer = 85.255.115.20,85.255.112.143
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.115.20 85.255.112.143
O17 - HKLM\System\CS1\Services\Tcpip\..\{27198140-7043-4E95-8061-7CBA63195EE5}: NameServer = 85.255.115.20,85.255.112.143
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.115.20 85.255.112.143
O20 - AppInit_DLLs: C:\WINDOWS.0\system32\svchh8g.dll
O20 - Winlogon Notify: fanxctrl - fanxctrl.dll (file missing)
O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS.0\
O21 - SSODL: msvcrt64.dll - {6677AB67-90B5-4C59-97ED-A99A8E38737F} - msvcrt64 .dll (file missing)
O22 - SharedTaskScheduler: uj38ehfh7efefefds98jkefn - {C5AF49A2-94F3-42BD-F434-3604812C897D} - C:\WINDOWS.0\system32\jdgf8edfsde.dll

- Выполните скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DelBHO('{C5AF49A2-94F3-42BD-F434-3604812C897D}');
 DeleteService('Google Online Services');
 DeleteService('microsoft internet service');
 DeleteService('25e1bb0f');
 DeleteService('fanxctrld');
 DeleteService('glok+4f0b-f7');
 DeleteService('tcpsr');
 DeleteService('Kpt26');
 DeleteService('Winxd38');
 DeleteService('Winwd62');
 DeleteService('winvb16');
 DeleteService('winsx73');
 DeleteService('Winsx27');
 DeleteService('winrw05');
 DeleteService('winqv16');
 DeleteService('winpu05');
 DeleteService('winjp16');
 DeleteService('Wingm62');
 DeleteService('winfk84');
 DeleteService('windi73');
 QuarantineFile('c:\windows.0\system32\msservice.exe','');
 QuarantineFile('C:\Documents and Settings\Administrator.TESTED\ie_updates3r.exe',''); 
 QuarantineFile('C:\WINDOWS.0\System32\drivers\25e1bb0f.sys','');
 QuarantineFile('C:\WINDOWS.0\system32\fanxctrld.sys','');
 QuarantineFile('C:\WINDOWS.0\glok+4f0b-f7.sys','');
 QuarantineFile('C:\WINDOWS.0\System32\Drivers\Kpt26.sys','');
 QuarantineFile('C:\WINDOWS.0\System32\drivers\tcpsr.sys','');
 QuarantineFile('C:\WINDOWS.0\System32\Drivers\Windi73.sys','');
 QuarantineFile('C:\WINDOWS.0\System32\Drivers\Winfk84.sys','');
 QuarantineFile('C:\WINDOWS.0\System32\drivers\Wingm62.sys','');
 QuarantineFile('C:\WINDOWS.0\System32\drivers\Winjp16.sys','');
 QuarantineFile('C:\WINDOWS.0\System32\drivers\Winpu05.sys','');
 QuarantineFile('C:\WINDOWS.0\System32\Drivers\Winqv16.sys','');
 QuarantineFile('C:\WINDOWS.0\System32\drivers\Winrw05.sys','');
 QuarantineFile('C:\WINDOWS.0\System32\drivers\Winsx27.sys','');
 QuarantineFile('C:\WINDOWS.0\System32\Drivers\Winsx73.sys','');
 QuarantineFile('C:\WINDOWS.0\System32\drivers\Winvb16.sys','');
 QuarantineFile('C:\WINDOWS.0\System32\drivers\Winwd62.sys','');
 QuarantineFile('C:\WINDOWS.0\System32\drivers\Winxd38.sys','');
 QuarantineFile('C:\DOCUME~1\ADMINI~1.TES\LOCALS~1\Temp\csrssc.exe','');
 QuarantineFile('C:\WINDOWS.0\TEMP\csrssc.exe','');
 QuarantineFile('C:\WINDOWS.0\system32\kdxgh.exe','');
 QuarantineFile('C:\WINDOWS.0\system32\ntos.exe','');
 QuarantineFile('C:\WINDOWS.0\system32\svchh8g.dll','');
 QuarantineFile('C:\WINDOWS.0\system32\fanxctrl.dll','');
 QuarantineFile('C:\WINDOWS.0\system32\msvcrt64.dll','');
 QuarantineFile('C:\WINDOWS.0\system32\jdgf8edfsde.dll','');
 DeleteFile('C:\WINDOWS.0\system32\jdgf8edfsde.dll');
 DeleteFile('C:\WINDOWS.0\system32\msvcrt64.dll');
 DeleteFile('C:\WINDOWS.0\system32\fanxctrl.dll');
 DeleteFile('C:\WINDOWS.0\system32\svchh8g.dll');
 DeleteFile('C:\WINDOWS.0\system32\ntos.exe');
 DeleteFile('C:\WINDOWS.0\system32\kdxgh.exe');
 DeleteFile('C:\WINDOWS.0\TEMP\csrssc.exe');
 DeleteFile('C:\DOCUME~1\ADMINI~1.TES\LOCALS~1\Temp\csrssc.exe');
 DeleteFile('C:\WINDOWS.0\System32\drivers\Winxd38.sys');
 DeleteFile('C:\WINDOWS.0\System32\drivers\Winwd62.sys');
 DeleteFile('C:\WINDOWS.0\System32\drivers\Winvb16.sys');
 DeleteFile('C:\WINDOWS.0\System32\Drivers\Winsx73.sys');
 DeleteFile('C:\WINDOWS.0\System32\drivers\Winsx27.sys');
 DeleteFile('C:\WINDOWS.0\System32\drivers\Winrw05.sys');
 DeleteFile('C:\WINDOWS.0\System32\Drivers\Winqv16.sys');
 DeleteFile('C:\WINDOWS.0\System32\drivers\Winpu05.sys');
 DeleteFile('C:\WINDOWS.0\System32\drivers\Winjp16.sys');
 DeleteFile('C:\WINDOWS.0\System32\drivers\Wingm62.sys');
 DeleteFile('C:\WINDOWS.0\System32\Drivers\Winfk84.sys');
 DeleteFile('C:\WINDOWS.0\System32\Drivers\Windi73.sys');
 DeleteFile('C:\WINDOWS.0\System32\drivers\tcpsr.sys');
 DeleteFile('C:\WINDOWS.0\System32\Drivers\Kpt26.sys');
 DeleteFile('C:\WINDOWS.0\glok+4f0b-f7.sys');
 DeleteFile('C:\WINDOWS.0\system32\fanxctrld.sys');
 DeleteFile('C:\WINDOWS.0\System32\drivers\25e1bb0f.sys');
 DeleteFile('C:\Documents and Settings\Administrator.TESTED\ie_updates3r.exe');
 DeleteFile('c:\windows.0\system32\msservice.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по красной ссылке вверху темы.
- Прикрепите логи к новому сообщению.

**Dengal** · 28.07.2008, 13:18

icesword не находит тех файлов которые Вы написали: Winxd38.sys - такого вообще там нет, а вместо msvcrt64.dll - есть только msvcrt.dll, mscvrt20.dll и mscvrt40.dll

Добавлено через 17 минут

Если не найдены те файлы, пофиксить дальше или нет

**pig** · 28.07.2008, 13:24

Выполняйте дальше, посмотрим на результат. Хуже быть не должно.

**Dengal** · 28.07.2008, 23:11

Прошу прощения- совсем пропал инетернет.
При "пофиксите" несколько раз выскакмвала табличка "редактирование реестра запрещено администратором системы".

**Гриша** · 28.07.2008, 23:28

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:

begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteService('winsx73');
 DeleteService('Kpt26');
 DeleteFile('C:\WINDOWS.0\System32\Drivers\Kpt26.sys');
 DeleteFile('C:\WINDOWS.0\System32\Drivers\Winsx73.sys');
 DeleteFile('C:\WINDOWS.0\system32\kdxgh.exe');
 DeleteFile('kdxgh.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('winsx73 ');
BC_DeleteSvc('Kpt26 ');    
BC_Activate;
ExecuteRepair(6);
ExecuteRepair(8);
RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);    
RebootWindows(true);
end.

Повторите логи...

Добавлено через 5 минут

Не понял,зачем писать в новой теме?

Сейчас прийдет злобный модератор и даст вам по ушам

Он уже тут

**Dengal** · 28.07.2008, 23:59

Все сделал, логи здесь

**V_Bond** · 29.07.2008, 00:06

выполните скрипт ...

Код:

begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteService('winsx73');
 QuarantineFile('C:\WINDOWS.0\System32\Drivers\Winsx73.sys','');
 DeleteService('Kpt26');
 QuarantineFile('C:\WINDOWS.0\System32\Drivers\Kpt26.sys','');
 QuarantineFile('C:\WINDOWS.0\0\system32\ntoskrnl.exe','');
 DeleteFile('C:\WINDOWS.0\System32\Drivers\Kpt26.sys');
 DeleteFile('C:\WINDOWS.0\System32\Drivers\Winsx73.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

пришлите карантин согласно приложения 3 правил ...
повторите логи ...

**Dengal** · 29.07.2008, 01:09

Карантин прислал, логи сделал

**V_Bond** · 29.07.2008, 09:55

скрипт выполнялся ? какрантин пришел не тот , зловреды все на местах ...
выполните пункт 2 правил ... затем дейчтвия из поста 8 заново ...

**Dengal** · 29.07.2008, 15:40

Папка карантин пуста, скрипты "выполнены успешно"
логи сделал

**Rene-gad** · 29.07.2008, 15:58

IceSword , поищите и удалите через опцию force delete файл:

Код:

C:\WINDOWS.0\System32\Drivers\Kpt26.sys
C:\WINDOWS.0\System32\Drivers\Winsx73.sys

Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное востановление.
- Выполните скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteService('winsx73');
 DeleteService('Kpt26');
 QuarantineFile('C:\WINDOWS.0\System32\Drivers\Kpt26.sys','');
 QuarantineFile('C:\WINDOWS.0\System32\Drivers\Winsx73.sys','');
 DeleteFile('C:\WINDOWS.0\System32\Drivers\Winsx73.sys');
 DeleteFile('C:\WINDOWS.0\System32\Drivers\Kpt26.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('winsx73');
BC_DeleteSvc('Kpt26');
BC_Activate;
RebootWindows(true);
end.

После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по красной ссылке вверху темы.
- Прикрепите логи к новому сообщению.[/QUOTE]

**Dengal** · 29.07.2008, 16:15

Icesword не находит этих файлов, как и в прошлый раз,
такие же скрипты я сделал только что, нужно их еще раз делать?

**Rene-gad** · 29.07.2008, 16:16

Сообщение от Dengal

такие же скрипты я сделал только что, нужно их еще раз делать?

Он похож, но не совсем такой

(сорри, тайны ремесла, не могу рассказть подробности

)

**Dengal** · 29.07.2008, 20:18

Скрипт сделал

**Rene-gad** · 29.07.2008, 20:20

Вот теперь чисто. Ставьте Сервис Пак 3.

**V_Bond** · 29.07.2008, 20:21

в логах чисто , но что -то мне подсказывает что у вас система подтормаживает

нужно срочно ставить сп3 ....

**Dengal** · 29.07.2008, 20:26

а где его взять не подскажете?

Добавлено через 4 минуты

извиняюсь, теперь я торможу
огромное спасибо Вам за помощь!!

**Dengal** · 30.07.2008, 10:12

Все почистил, поставил Касперского, установил SP3 - компьютер теперь тормозит со страшной силой. Из-за чего это может быть?

**Rene-gad** · 30.07.2008, 10:18

Сообщение от Dengal

Все почистил, поставил Касперского, установил SP3 - компьютер теперь тормозит со страшной силой. Из-за чего это может быть?

Все что угодно

Скан Касперским провели? Логи давайте. Если Вы сначала Касперского поставили и при установке СП3 его не отключили - то проблемы запрограммированы.
Джаву обновили?

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

nod32 vs winog.ck (заявка № 27173)

Опции темы

nod32 vs winog.ck

icesword не находит файлов

Все сделал

Карантин прислал, логи сделал

Папка карантин пуста

icesword не находит файлов

Сделал

а где его взять не подскажете

Все почистил -тормозит

Похожие темы

Необновляется Nod32 и не зайти на сайты dr.web и nod32

NOD32 + avz

NOD32 и NOD32 Smart Security сертифицированы для работы с Windows 7

не обновляется nod32 eav 3.0, 4.0, ess 4.0, dr.web 5.0. при nod32 любой версии не работает инет

NOD32

Ваши права в разделе