Компьютер самопроизвольно перезагружается

**Олег533** · 19.08.2008, 20:44

Компьютер заражён трояном WIN32.Doctor Web при сканировании не обнаруживает,а при запуске выдает табличку предупреждение,что обнаружен троян С:\WINDOWS\system32\.......При чём он как бы и удаляется,и лечится,и перемещается в карантин.Только после следующего запуска появляется вновь.А система после 10-15 мин. простоя начинает самопроизвольно перезагружаться.Только вот загрузиться не может.И так по кругу,пока не выключишь комп. и не включишь принудительно.Да поначалу появлялась табличка на синем фоне с предупреждением о заражении компьютера трояном,сейчас не появляется.Помогите!!!

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Rene-gad** · 19.08.2008, 20:47

прочитайте правила, сделайте 3 лога, прикрепите в теме, карантин - сюда: http://virusinfo.info/upload_virus.php?tid=28444

**Олег533** · 19.08.2008, 21:22

Вроде сделал всё, как написано в правилах.

**Rene-gad** · 19.08.2008, 21:39

Сообщение от Олег533

Вроде сделал всё, как написано в правилах.

Сколько логов Вы видите прикрепленными к 1-му сообщению? Я вижу 1 (ОДИН) а д.б. - 3 (ТРИ)

**Олег533** · 19.08.2008, 22:18

добавил

Повторно.

**pig** · 20.08.2008, 02:44

Куда? Я не вижу.

**Rene-gad** · 20.08.2008, 10:48

Сообщение от pig

Куда? Я не вижу.

А они новую тему открыли

Я переместил

**Олег533** · 20.08.2008, 11:13

Здравствуйте!Я не хотел открывать новую тему.Это получилось случайно.Мне нужно было добавить в первую тему два файла с логами и по незнанию, как это сделать ,появились еще две темы.Вообще-то я просил помощи,мне не справиться с вирусами,а они все размножаются и размножаются.Заранее спасибо.

**Rene-gad** · 20.08.2008, 13:09

сделайте проверку AVPtool (ссылка в подписи).

Скачайте IceSword , поищите и скопируйте файлы:

Код:

C:\WINDOWS\System32\drivers\Winvc73.sys
C:\WINDOWS\system32\WinCtrl32.dll
C:\WINDOWS\system32\WinCtrl32.bak
C:\WINDOWS\system32\WinCtrl32.dl_

Скопированные с помощью IceSword файлы сохраните в карантине (Приложение 2 правил).
Потом удалите их с помощью force delete
Если Вы какие-то файлы не обнаружите - переходите к следующему шагу.

Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное востановление.
- Выполните скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteService('wuauservRemoteAccess');
 DeleteService('wuauservEventlog');
 DeleteService('WmiTrkWks');
 DeleteService('WmdmPmSNWmdmPmSN');
 DeleteService('ThemesBrowser');
 DeleteService('TermServiceSCardSvr');
 DeleteService('Spoolerupnphost');
 DeleteService('ScheduleNetDDEdsdm');
 DeleteService('Rpnmssacfmrv');
 DeleteService('RpcSsNetman');
 DeleteService('RasAutoSENS');
 DeleteService('PolicyAgentsrservice');
 DeleteService('PolicyAgentHTTPFilter');
 DeleteService('oseMDM');
 DeleteService('NtmsSvcERSvc');
 DeleteService('NetmanERSvc');
 DeleteService('NetDDEdsdmTapiSrv');
 DeleteService('ERSvcAudioSrv');
 DeleteService('CiSvcupnphost');
 DeleteService('AdobeVSS');
 DeleteService('Winnt62');
 DeleteService('Winmr51');
 DeleteService('Winlr62');
 DeleteService('Winkq27');
 DeleteService('Winkp16');
 DeleteService('WINIO');
 DeleteService('Winej27');
 DeleteService('Winaf73');
 DelBHO('{FFFC57DB-1DE3-4303-B24D-CEE6DCDD3D86}');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winaf73.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winej27.sys','');
 QuarantineFile('E:\autorun\winio.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winkp16.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winkq27.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winlr62.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winmr51.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winnt62.sys','');
 QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll','');
 QuarantineFile('C:\WINDOWS\System32\drivers\Winvc73.sys','');
 DeleteFile('C:\WINDOWS\System32\drivers\Winvc73.sys');
 DeleteFile('C:\PROGRA~1\MYCENT~1\InfoBar\MYCENT~1.DLL');
 DeleteFile('C:\WINDOWS\system32\blphc973j0ec81.scr');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winnt62.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winmr51.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winlr62.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winkq27.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winkp16.sys');
 DeleteFile('E:\autorun\winio.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winej27.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winaf73.sys');
 DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
BC_ImportAll;
ExecuteSysClean;
 BC_DeleteSvc('wuauservRemoteAccess');
 BC_DeleteSvc('wuauservEventlog');
 BC_DeleteSvc('WmiTrkWks');
 BC_DeleteSvc('WmdmPmSNWmdmPmSN');
 BC_DeleteSvc('ThemesBrowser');
 BC_DeleteSvc('TermServiceSCardSvr');
 BC_DeleteSvc('Spoolerupnphost');
 BC_DeleteSvc('ScheduleNetDDEdsdm');
 BC_DeleteSvc('Rpnmssacfmrv');
 BC_DeleteSvc('RpcSsNetman');
 BC_DeleteSvc('RasAutoSENS');
 BC_DeleteSvc('PolicyAgentsrservice');
 BC_DeleteSvc('PolicyAgentHTTPFilter');
 BC_DeleteSvc('oseMDM');
 BC_DeleteSvc('NtmsSvcERSvc');
 BC_DeleteSvc('NetmanERSvc');
 BC_DeleteSvc('NetDDEdsdmTapiSrv');
 BC_DeleteSvc('ERSvcAudioSrv');
 BC_DeleteSvc('CiSvcupnphost');
 BC_DeleteSvc('AdobeVSS');
 BC_DeleteSvc('Winnt62');
 BC_DeleteSvc('Winmr51');
 BC_DeleteSvc('Winlr62');
 BC_DeleteSvc('Winkq27');
 BC_DeleteSvc('Winkp16');
 BC_DeleteSvc('WINIO');
 BC_DeleteSvc('Winej27');
 BC_DeleteSvc('Winaf73');
BC_Activate;
RebootWindows(true);
end.

После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.

**Олег533** · 20.08.2008, 13:19

А Dr. Web мне нужно удалить?Он у меня лицензионный.

**Rene-gad** · 20.08.2008, 14:33

Сообщение от Олег533

А Dr. Web мне нужно удалить?

А где Вы видите такую рекомендацию?

**Олег533** · 20.08.2008, 21:30

Отсылаю новые логи.

**V_Bond** · 20.08.2008, 22:02

не понял ... кто у вас антивирусом работает .... одного нужно уволить ...
выполните скрипт ...

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 BC_DeleteSvc('Winvc73');
 BC_DeleteSvc('oseMDMMSIServer');
 BC_DeleteSvc('HTTPFilterRpcSsCryptSvc');
 BC_DeleteSvc('HTTPFilterRpcSs');
 BC_DeleteSvc('ERSvcAudioSrvWudfSvc');
 BC_DeleteSvc('CiSvcupnphostRpnmssacfmrv');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winvc73.sys');
 DeleteFile('WinCtrl32.dll');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteRepair(5);
ExecuteRepair(6);
ExecuteRepair(8);
BC_Activate;
RebootWindows(true);
end.

повторите логи ...

**Олег533** · 20.08.2008, 23:37

Новые логи

**V_Bond** · 20.08.2008, 23:58

пофиксите

Код:

O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\

C:\Documents and Settings\User\Local Settings\Temp\ShowLogo.exe - удалите ...
больше ничего подозрительного ...

**Олег533** · 21.08.2008, 00:27

Большое спасибо!!!

**CyberHelper** · 22.02.2009, 07:16

Статистика проведенного лечения:

Получено карантинов: 2
Обработано файлов: 23
В ходе лечения обнаружены вредоносные программы:
1. c:\\tmp\\loader.exe - Trojan-Downloader.Win32.Agent.aayp (DrWEB: Trojan.DownLoad.2077)

Компьютер самопроизвольно перезагружается (заявка № 28444)

Опции темы