описывать долго и муторно. Работать невозможно. Ребята, помогите, компьютер очень нужен с утра. Спасибо.
описывать долго и муторно. Работать невозможно. Ребята, помогите, компьютер очень нужен с утра. Спасибо.
AVZ -> Файл -> Выполнить скрипт:
После перезагрузки, в папке AVZ найти файл virusinfo_7884_quarantine.zip и прислать его нам по правилам(через эту форму)Код:begin SetAVZGuardStatus(True); SearchRootkit(true, true); QuarantineFile('instcat.dll',''); QuarantineFile('C:\Windows\System32\Check.exe',''); QuarantineFile('C:\Windows\RUNXMLPL.exe',''); QuarantineFile('C:\WINDOWS\system32\loidkw32.dll',''); QuarantineFile('C:\WINDOWS\system32\chk_disk.exe',''); QuarantineFile('C:\Documents and Settings\All Users\Документы\Settings\winsys2f.dll',''); QuarantineFile('\??\C:\WINDOWS\TEMP\cel90xbe.sys',''); QuarantineFile('C:\WINDOWS\system32\wsys.dll',''); QuarantineFile('C:\WINDOWS\system32\msnetax.dll',''); QuarantineFile('c:\cp1041.nls',''); QuarantineFile('c:\windows\system32\services.exe',''); QuarantineFile('c:\windows\system32\winlogon.exe',''); DeleteFile('C:\Documents and Settings\All Users\Документы\Settings\winsys2f.dll'); CreateQurantineArchive(GetAVZDirectory+'virusinfo_7884_quarantine.zip'); RebootWindows(true); end.
Последний раз редактировалось RiC; 11.02.2007 в 09:35. Причина: Ещё один "интересный" файл добавил в карантин.
Скрипт выполнил, файл выслал. Все это сделалось с большим трудом, выскакивали невпопад синие экраны с сообщениями о критических ошибках, компьютер сам перезагружался. При перезагрузке в самом начале на синем экране пишет, что необходимо проверить файловую систему диска D и начинает его проверять, но на 1-ом проценте останавливается и долго висит. Приходится его опять перезагружать и пропускать ту проверку.
По Касперскому:
Backdoor.Win32.Agent.fo_____loidkw32.dll
Rootkit.Win32.Agent.dp______cel90xbe.sys
Trojan.Win32.Agent.ady______wsys.dll
Trojan.Win32.Agent.afg_______ msnetax.dll
SpamTool.Win32.Agent.u______cp1041.nls
c:\windows\system32\winlogon.exe тоже троян и его нужно заменить чистым файлом из дистрибутива.
Не плохой улов
C:\WINDOWS\system32\loidkw32.dll - Trojan.DownLoader.18377 (DrWeb), Backdoor.Win32.Agent.fo (KAV)
C:\WINDOWS\system32\wsys.dll - Trojan.MulDrop.5450 (DrWeb), Trojan.Win32.Agent.ady (KAV)
C:\WINDOWS\system32\msnetax.dll - Trojan.Sender (DrWeb), Trojan.Win32.Agent.afg (KAV)
c:\windows\system32\winlogon.exe - Trojan.Starter.160 (DrWeb)
c:\cp1041.nls - SpamTool.Win32.Agent.u (KAV)
C:\WINDOWS\TEMP\cel90xbe.sys - Rootkit.Win32.Agent.dp (KAV)
Так что делать? Дистрибутива нет, есть какие-то recovery диски, которые шли вместе с этим ноутбуком в комплекте, как из них вытаскивать чистый файл?
И как столько вирусов могло за один раз попасть на комп? Появилось все вроде быстро и сразу...
нашелся только один файл на винчестере - c:\windows\system32\winlogon.exe (его и выслал), на дисках такого файла нет. Это излечимо? Или ОС переустанавливать?
Попробую вылечить. Гарантий само собой никаких
Понадобится -
1. Вложение к этому письму - patch.rar
Скачать, распаковать, положить в один каталог Patch.exe и Winlogon.exe, каталог для простоты должен находится в корне диска C: и называться aaa ( c:\aaa )
2. Запустить Patch и нажать на кнопку "Patch" после этого получите чистый Winlogon.exe, без трояна в комплекте и Winlogon.exe.bak троян - "на память". (Для других читателей этого поста - Patch предназначен только для басс !!!)
3. Качаете Inuse - http://download.microsoft.com/downlo...n-us/inuse.exe и кладете в каталог aaa к Winlogon.
4. Заходите в Пуск/выполнить и пишете такую команду -
c:\aaa\inuse.exe c:\aaa\Winlogon.exe c:\windows\system32\Winlogon.exe /y
Появится табличка с просьбой перезагрузится - пусть висит - рано.
5. Запускаете AVZ - "Файл"=>"Выполнить скрипт"
Последует перезагрузка, если нигде не "промахнулся" в расчетах - загрузится уже "чистая" система, в таком случае повторите 2-й лог AVZ из правил для проверки.Код:begin SetAVZGuardStatus(True); DeleteFile('C:\WINDOWS\system32\msnetax.dll'); DeleteFile('C:\WINDOWS\system32\wsys.dll'); DeleteFile('C:\WINDOWS\system32\loidkw32.dll'); DeleteFile('C:\Documents and Settings\All Users\Документы\Settings\winsys2f.dll'); DeleteFile('c:\cp1041.nls'); DeleteFile('C:\WINDOWS\TEMP\cel90xbe.sys'); BC_ImportDeletedList; ExecuteSysClean; BC_LogFile(GetAVZDirectory + 'boot_clr.log'); BC_Activate; RebootWindows(true); end.
Последний раз редактировалось RiC; 12.02.2007 в 10:50.
после запуска Patch,a пишет: "Wrong filesize or already patched! ...done"
Что делать и кто виноват?)))
ругаться он начал с первого раза, в папке тот же файл, что и был. В его свойствах написано так:
Размер 495 КБ (507 392 байт)
На диске 512 КБ (524 288 байт)
Он уже вылеченный? И нет обещанного файла с расширением .bak.
Пробовать дальше?
файл отослан
Такое ощущение, что этот троян в добавок ко всему глючит и постоянно дописывает в Winlogon какой-то мусор, во вложении Patch для того файла, что Вы прислали в последний раз.
Последний раз редактировалось RiC; 11.02.2007 в 21:29.
все получается, но при выполнении скрипта выдает ошибку:
Ошибка: Undeclared identifier: 'BC_ImportDeletedList' в позиции 9:22
А так -
Код:begin SetAVZGuardStatus(True); DeleteFile('C:\WINDOWS\system32\msnetax.dll'); DeleteFile('C:\WINDOWS\system32\wsys.dll'); DeleteFile('C:\WINDOWS\system32\loidkw32.dll'); DeleteFile('C:\Documents and Settings\All Users\Документы\Settings\winsys2f.dll'); DeleteFile('c:\cp1041.nls'); DeleteFile('C:\WINDOWS\TEMP\cel90xbe.sys'); BC_ImportDeletedList; ExecuteSysClean; BC_LogFile(GetAVZDirectory + 'boot_clr.log'); BC_Activate; RebootWindows(true); end.
то же самое, та же ошибка...
Не посмотрел - качайте свежий AVZ, Ваш таких команд не знает.
http://z-oleg.com/avz4.zip
Уважаемый(ая) басс, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.