-
Junior Member
- Вес репутации
- 53
Ошибки explorer.exe, drwtsn32.exe.
Добрый день, уважаемые хелперы.
Недавно после включения компьютера и загрузки системы начало появляться сообщение: "Windows не удалось установить оборудование. Обратитесь к поставщику". Далее появляются ошибки explorer.exe, drwtsn32.exe с предложением отправить отчёт и компьютер зависает.
Помогает только перезагрузка.
Логи прилагаются.
Заранее спасибо за помощь.
С уважением.
Алексей.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Добрый день!
Закройте все программы, выгрузите антивирус, фаерволл
пофиксите В HijackThis:
Код:
F2 - REG:system.ini: UserInit=E:\WINDOWS\SYSTEM32\Userinit.exe,E:\WINDOWS\system32\6b7e358d.exe,E:\WINDOWS\system32\dyszii.exe,
Выполните в AVZ скрипт:
Код:
begin
SetAVZPMStatus(True);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('ice_time.dll','');
QuarantineFile('E:\WINDOWS\system32\ice_time.dll','');
QuarantineFile('E:\WINDOWS\system32\dyszii.exe','');
QuarantineFile('E:\WINDOWS\system32\6b7e358d.exe','');
QuarantineFile('E:\Documents and Settings\Базз\Главное меню\Программы\Автозагрузка\wwwznv32.exe','');
QuarantineFile('C:\Program Files\Common Files\SysAware Soft\svhost.exe','');
QuarantineFile('E:\WINDOWS\System32\Drivers\ayp07jh6.SYS','');
DeleteFile('E:\Documents and Settings\Базз\Главное меню\Программы\Автозагрузка\wwwznv32.exe');
DeleteFile('E:\WINDOWS\system32\6b7e358d.exe');
DeleteFile('E:\WINDOWS\system32\dyszii.exe');
BC_QrSVC('zlwpky');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер сам перезагрузится.
Выполните после перезагрузки такой скрипт:
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'virus.zip');
end.
В папке c АВЗ сохранится virus.zip.
Пришлите его по ссылке Прислать запрошенный карантин вверху темы.
Повторите логи.
Сделайте лог:http://virusinfo.info/showthread.php?t=40118
-
-
Junior Member
- Вес репутации
- 53
Результат загрузки
Файл сохранён как 100721_111212_virus_4c469dcc7ed9b.zip
Размер файла 177691
MD5 3bb9a1a44e0c5b39ddd6835980dcfce6
Файл закачан, спасибо!
Логи прилагаются.
-
- Сохраните текст ниже как 1.bat в ту же папку, где находится dsobw04t.exe (GMER) и запустите этот батник(1.bat):
Код:
dsobw04t.exe -del service zlwpky
dsobw04t.exe -del file "E:\WINDOWS\system32\bnjums.dll"
dsobw04t.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\jydyon"
dsobw04t.exe -del reg "HKLM\SYSTEM\ControlSet005\Services\zlwpky"
dsobw04t.exe -del reg "HKLM\SYSTEM\ControlSet006\Services\zlwpky"
dsobw04t.exe -del reg "HKLM\SYSTEM\ControlSet007\Services\zlwpky"
dsobw04t.exe -del reg "HKLM\SYSTEM\ControlSet009\Services\zlwpky"
dsobw04t.exe -reboot
Компьютер перезагрузится.
После перезагрузки:
- Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
QuarantineFile('C:\Program Files\Common Files\SysAware Soft\svhost.exe','');
DeleteFile('C:\Program Files\Common Files\SysAware Soft\svhost.exe');
DeleteFileMask('C:\Program Files\Common Files\SysAware Soft', '*.*', true);
DeleteDirectory('C:\Program Files\Common Files\SysAware Soft');
DeleteFile('E:\Documents and Settings\Базз\Главное меню\Программы\Автозагрузка\wwwznv32.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Скачайте RSIT тут. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.
-
-
Junior Member
- Вес репутации
- 53
Результат загрузки
Ошибка загрузки. Данный файл уже был загружен
Логи прикрепил.
После выполнения скрипта в АВЗ и перезагрузки компьютера был синий экран. Потом я выбрал загрузку последней удачной конфигурации.
Последний раз редактировалось Alexey R; 22.07.2010 в 10:53.
Причина: Добавлено.
-
1. Профиксите в HijackThis как "профиксить в HiJackThis"
Код:
R3 - Default URLSearchHook is missing
O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file)
2.Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
QuarantineFile('E:\WINDOWS\system32\kawadji.exe','');
QuarantineFile('E:\WINDOWS\system32\yaomkxa.exe','');
QuarantineFile('E:\WINDOWS\system32\osdvowe.exe','');
QuarantineFile('E:\WINDOWS\system32\pwatqoi.exe','');
QuarantineFile('E:\WINDOWS\system32\faribsv.exe','');
QuarantineFile('E:\WINDOWS\system32\fmratkl.exe','');
QuarantineFile('E:\WINDOWS\system32\sdxruua.exe','');
DeleteFile('E:\WINDOWS\system32\kawadji.exe');
DeleteFile('E:\WINDOWS\system32\yaomkxa.exe');
DeleteFile('E:\WINDOWS\system32\osdvowe.exe');
DeleteFile('E:\WINDOWS\system32\pwatqoi.exe');
DeleteFile('E:\WINDOWS\system32\faribsv.exe');
DeleteFile('E:\WINDOWS\system32\fmratkl.exe');
DeleteFile('E:\WINDOWS\system32\sdxruua.exe');
RegKeyStrParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs', '');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- сделайте лог Combofix
-
-
Junior Member
- Вес репутации
- 53
Результат загрузки
Файл сохранён как 100723_085435_quarantine_4c49208b28786.zip
Размер файла 558278
MD5 80924ca639dc28b5d599a29bc17e2c19
Файл закачан, спасибо!
После работы Combofiv пропал доступ в интернет, также не мог включить брандмауэр Windows и появлялась ошибка Javaquickstarter Service
Не найдено описание для события с кодом ( 1 ) в источнике ( JavaQuickStarterService ). Возможно, на локальном компьютере нет нужных данных в реестре или файлов DLL сообщений для отображения сообщений удаленного компьютера. Попробуйте использовать ключ /AUXSOURCE= для получения этого описания, - дополнительные сведения об этом содержатся в справке. В записи события содержится следующая информация: Unable to create JQS API server: socket() failed (Socket error 10050)
Приходилось прибегать к восстановлению системы.
P.S. Перед запуском Combofix закрыл все программы, отключился от интернета и отключил брандмауэр Windows. Скажите, пожалуйста, что не так сделал.
В диспетчере устройств, в списке клавиатур отображается только одно устройство - неизвестное устройство.
Также не могу смотреть видеоновости на mail.ru.
Карантин отправил, лог прикрепил.
Последний раз редактировалось Alexey R; 23.07.2010 в 11:03.
-
- Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
if CheckFile('%System32%\dllcache\sfcfiles.dll')=3 then
CopyFile('%System32%\dllcache\sfcfiles.dll', '%System32%\sfcfiles.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
восстановите файл так или из дистрибутива.
распакуйте файл из вложения и внесите информацию из него в реестр
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
Код:
Ignore:: C:\WINDOWS\system32\drivers\afd.sys
KillAll::
File::
Driver::
NetSvc::
zlwpky
Folder::
Registry::
FileLook::
DirLook::
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.
-
-
Junior Member
- Вес репутации
- 53
Я вчера сказал брату, что компьютер заражён файлом wwwznv32.exe.
Он переустановил систему.
Теперь папка E:\Documents and Settings\Базз\Главное меню\Программы\Автозагрузка\ пуста. Сообщения об ошибке тоже не появляются. Жду дальейше указания.
Последний раз редактировалось Alexey R; 24.07.2010 в 11:17.
-
сделайте комплект логов для проверки
-
-
Junior Member
- Вес репутации
- 53
-
Обновите систему
- SP2 обновите до Service Pack 3(может потребоваться активация)
* Перед установкой Сервис Пака необходимо выгрузить антивирус, файрвол, а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)
* Microsoft остановил поддержку и выпуск обновлений безопасности для ОС Windows XP без установленного SP3
- Установите Internet-Explorer 8.(даже если Вы его не используете)
- Поставте все последние обновления системы Windows - тут
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 25
- В ходе лечения обнаружены вредоносные программы:
- e:\documents and settings\базз\главное меню\программы\автозагрузка\wwwznv32.exe - Packed.Win32.Krap.ao ( AVAST4: Win32:Crypt-GWY [Drp] )
- e:\windows\system32\dyszii.exe - Backdoor.Win32.Shiz.gen ( DrWEB: Trojan.Packed.20771, BitDefender: Gen:Trojan.Heur.FU.fq0@aeIz3Vci, NOD32: Win32/Spy.Shiz.NAL trojan, AVAST4: Win32:MalOb-BW [Cryp] )
- e:\windows\system32\faribsv.exe - Backdoor.Win32.Shiz.gen ( DrWEB: Trojan.Packed.20771, BitDefender: Gen:Trojan.Heur.FU.gq0@aCxOhcji, NOD32: Win32/Spy.Shiz.NAL trojan, AVAST4: Win32:MalOb-BW [Cryp] )
- e:\windows\system32\fmratkl.exe - Backdoor.Win32.Shiz.gen ( DrWEB: Trojan.Packed.20771, BitDefender: Gen:Trojan.Heur.FU.gq0@a0mvIIpi, AVAST4: Win32:MalOb-BW [Cryp] )
- e:\windows\system32\kawadji.exe - Backdoor.Win32.Shiz.mz ( DrWEB: Trojan.Packed.20771, BitDefender: Gen:Variant.Zbot.15, NOD32: Win32/Spy.Shiz.NAL trojan, AVAST4: Win32:MalOb-BW [Cryp] )
- e:\windows\system32\osdvowe.exe - Backdoor.Win32.Shiz.mx ( DrWEB: Trojan.Packed.20771, BitDefender: Gen:Trojan.Heur.FU.gq0@a4wbXgci, NOD32: Win32/Spy.Shiz.NAL trojan, AVAST4: Win32:MalOb-BW [Cryp] )
- e:\windows\system32\pwatqoi.exe - Backdoor.Win32.Shiz.gen ( DrWEB: Trojan.PWS.Ibank.53 )
- e:\windows\system32\sdxruua.exe - Backdoor.Win32.Shiz.gen ( DrWEB: Trojan.Packed.20771, BitDefender: Gen:Trojan.Heur.FU.gq0@a0mvIIpi, AVAST4: Win32:MalOb-BW [Cryp] )
- e:\windows\system32\yaomkxa.exe - Backdoor.Win32.Shiz.mx ( DrWEB: Trojan.Packed.20771, BitDefender: Gen:Trojan.Heur.FU.gq0@a4wbXgci, NOD32: Win32/Spy.Shiz.NAL trojan, AVAST4: Win32:MalOb-BW [Cryp] )
- e:\windows\system32\6b7e358d.exe - Trojan.Win32.Jorik.Shiz.br ( DrWEB: Trojan.Packed.20771, BitDefender: Gen:Trojan.Heur.FU.cq0@aCYDq3gi, NOD32: Win32/Spy.Shiz.NAI trojan, AVAST4: Win32:MalOb-BW [Cryp] )
-