-
Junior Member
- Вес репутации
- 56
Проблема с windows xp
Здравствуйте, вчера столкнулся с ошибкой, что digeste.dll не является образом программы для windows nt. Сделал проверку Cureit, вылечил и удалил трояны, начал создавать файлы логов для диагностики, затем потребовалось перезагрузиться, но загрузка windows остановливалась на экране приветствия и дальше не шла, с 5 раза все-таки загрузка закончилась, доделал логи и прошу помощи, все ли в порядке с системой (уже подумал, что придется переустанавливать)
Последний раз редактировалось Teravian; 01.04.2010 в 01:00.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Выполнить:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('D:\autorun.inf','');
QuarantineFile('C:\autorun.inf','');
DelBHO('{92780B25-18CC-41C8-B9BE-3C9C571A8263}');
DelBHO('{F171A450-7AF5-43E1-AFED-EDC826A1B0F5}');
QuarantineFile('C:\WINDOWS\system32\bgotrtu0.dll','');
QuarantineFile('C:\WINDOWS\system32\afmain1.dll','');
QuarantineFile('digeste.dll','');
QuarantineFile('C:\Documents and Settings\Администратор\Application Data\Facegame\Facegame.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\ati64si.sys','');
DeleteService('ati64si');
QuarantineFile('C:\WINDOWS\system32\drivers\acpi32.sys','');
DeleteService('acpi32');
DeleteFile('C:\WINDOWS\system32\drivers\acpi32.sys');
DeleteFile('C:\WINDOWS\system32\drivers\ati64si.sys');
DeleteFile('digeste.dll');
DeleteFile('C:\WINDOWS\system32\bgotrtu0.dll');
DeleteFile('C:\autorun.inf');
DeleteFile('D:\autorun.inf');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Сделать заново логи.
Загрузить карантин по Правилам через http://virusinfo.info/upload_virus.php?tid=41970
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 56
1. После выполнения скрипта компьютер завис (остался рабочий стол без ярлыков и панели задач), пришлось перезагрузиться reset-ом.
2. В процессах появился Администратор.exe (учетная запись, под которой я работаю, называется Администратор). Пробовал удалять его из автозагрузки, после ребута он снова появляется в процессах. Как его убить?
3. Правильно ли я загрузил карантин?
Последний раз редактировалось Teravian; 01.04.2010 в 01:00.
-
выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\afmain1.dll','');
QuarantineFile('C:\Documents and Settings\Администратор\Application Data\Facegame\Facegame.exe','');
DeleteService('Atiupnphost');
QuarantineFile('C:\WINDOWS\system32\drivers\systemntmi.sys','');
QuarantineFile('c:\documents and settings\Администратор\Администратор.exe','');
DeleteFile('c:\documents and settings\Администратор\Администратор.exe');
DeleteFile('C:\WINDOWS\system32\drivers\systemntmi.sys');
DeleteFile('C:\WINDOWS\system32\wpv041237070981.cpx');
DeleteFile('C:\Documents and Settings\Администратор\Application Data\Facegame\Facegame.exe');
DeleteFile('C:\WINDOWS\system32\afmain1.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
пришлите карантин согласно приложения 3 правил
повторите логи
-
-
Junior Member
- Вес репутации
- 56
Перезагрузка проходит успешно, Администратор.exe успешно удален. Субъективно все стало, как раньше. Остались ли какие-то проблемы?
Последний раз редактировалось Teravian; 01.04.2010 в 01:00.
-
1. Отключите восстановление системы и антивирус.
2. Выполните скрипт в AVZ:
Код:
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\autorun.inf','');
QuarantineFile('C:\i6g6x.cmd','');
DeleteFile('C:\autorun.inf');
DeleteFile('C:\i6g6x.cmd');
DeleteFile('D:\autorun.inf');
DeleteFile('D:\i6g6x.cmd');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится!
Пришлите карантин согласно приложению 3 правил.
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=41970
3. Повторите логи.
Сердце решает кого любить... Судьба решает с кем быть...
-
-
Junior Member
- Вес репутации
- 56
Сделал. Все ли в порядке?
Последний раз редактировалось Teravian; 01.04.2010 в 01:00.
-
В логах чисто, установите SP3+all updates...
-
-
Junior Member
- Вес репутации
- 56
Благодарю, но windows у меня нелицензионный, я ведь не смогу скачать обновления и сервиспак 3? И последнй вопрсо: восстановление системы оставить отключенным или включить снова?
Последний раз редактировалось Teravian; 20.03.2009 в 12:37.
-
Можно включить. Кстати, еще можно папку AVZ удалить вместе с карантином, чтобы а/вирус на нее не ругался.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 3
- Обработано файлов: 51
- В ходе лечения обнаружены вредоносные программы:
- c:\documents and settings\администратор\администратор.exe - Trojan.Win32.Rabbit.m ( BitDefender: Trojan.Dropper.Kobcka.Gen.1 )
- c:\i6g6x.cmd - Trojan-GameThief.Win32.Magania.avwe ( DrWEB: Trojan.PWS.Wsgame.4983, BitDefender: Trojan.PWS.Onlinegames.KBPU )
- c:\windows\system32\bgotrtu0.dll - Trojan-GameThief.Win32.Magania.aubs ( BitDefender: Gen:Trojan.Heur.503EC18383 )
- c:\windows\system32\drivers\ati64si.sys - Rootkit.Win32.Agent.gvv ( DrWEB: Trojan.DownLoad.24465, BitDefender: Trojan.Inject.TZ )
- c:\windows\system32\drivers\systemntmi.sys - Rootkit.Win32.Agent.gvv ( DrWEB: Trojan.DownLoad.24465, BitDefender: Trojan.Inject.TZ )
- d:\i6g6x.cmd - Trojan-GameThief.Win32.Magania.avwe ( DrWEB: Trojan.PWS.Wsgame.4983, BitDefender: Trojan.PWS.Onlinegames.KBPU )
-