Ошибка при загрузке srnh.lto

**sjohny23** · 28.07.2010, 07:41

Здравствуйте! Помогите, пожалуйста, с вирусом - при включении ХР выдается сообщение с ошибкой "Ошибка при загрузке srnh.lto. Не найден указанный модуль".

Знаю что это вирус, видел подобную тему здесь на форуме. Надеюсь на скорый ответ! Спасибо!

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**polword** · 28.07.2010, 07:56

Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Обязательно!!! Системное восстановление!!! как- посмотреть можно тут
- Выгрузите антивирус и/или Файрвол
- Закройте все программы
- Выполните скрипт в AVZ

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,'); 
 QuarantineFile('C:\WINDOWS\alg.exe','');
 QuarantineFile('C:\WINDOWS\system32\uptlri.exe','');
 QuarantineFile('\\?\globalroot\systemroot\system32\wKPYLRc.exe','');
 QuarantineFile('C:\WINDOWS\system32\7421e4ec.exe','');
 QuarantineFile('C:\Documents and Settings\Александр\Главное меню\Программы\Автозагрузка\wwwznv32.exe','');
 QuarantineFile('C:\DOCUME~1\05A2~1\LOCALS~1\Temp\cpuz130\cpuz_x32.sys','');
 DeleteFile('C:\Documents and Settings\Александр\Главное меню\Программы\Автозагрузка\wwwznv32.exe');
 DeleteFile('C:\WINDOWS\system32\7421e4ec.exe');
 DeleteFile('\\?\globalroot\systemroot\system32\wKPYLRc.exe');
 DeleteFile('C:\WINDOWS\system32\uptlri.exe');
 QuarantineFile('C:\WINDOWS\explorer.exe:userini.exe','');
 DeleteFile('C:\WINDOWS\explorer.exe:userini.exe');
 QuarantineFile('C:\WINDOWS\system32\srnh.lto','');
 DeleteFile('C:\WINDOWS\system32\srnh.lto');
 BC_ImportAll;
 ExecuteSysClean;
 ExecuteRepair(20);
 ExecuteWizard('TSW', 2, 2, true);
 ExecuteWizard('SCU', 2, 2, true);
 RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
 BC_Activate;
 RebootWindows(true);
end.

После перезагрузки:
- выполните такой скрипт

Код:

begin
  CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
 end.

Профиксите в HijackThis, что останется

Код:

O4 - HKLM\..\Run: [Generic Host for Win32 Services] ‘|x˜
O4 - HKCU\..\Run: [userini] C:\WINDOWS\explorer.exe:userini.exe
O4 - HKCU\..\Policies\Explorer\Run: [userini] C:\WINDOWS\explorer.exe:userini.exe

- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)
- Скачайте RSIT тут. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

**sjohny23** · 28.07.2010, 08:29

Файл сохранён как 100728_082105_quarantine_4c4fb031b12b4.zip
Размер файла 223843
MD5 2f40c4ecb0327ed800b71149815be13a

**sjohny23** · 28.07.2010, 08:48

1

**DefesT** · 28.07.2010, 16:05

Обновите базы AVZ при помощи автоматического обновления (Файл/Обновление баз)
Пофиксите в Hijackthis:

Код:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.apeha.ru
O4 - HKLM\..\Policies\Explorer\Run: [lsass] C:\WINDOWS\alg.exe
O4 - Startup: wwwznv32.exe

Закройте все программы, выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\aYsa1qO.exe','');
QuarantineFile('C:\WINDOWS\system32\k1NQIHA.exe','');
QuarantineFile('C:\WINDOWS\system32\f0TKpy0.exe','');
QuarantineFile('C:\WINDOWS\system32\KFeo9K2.exe','');
QuarantineFile('C:\WINDOWS\system32\Glmss9F.exe','');
QuarantineFile('C:\WINDOWS\system32\WyJaUC8.exe','');
QuarantineFile('C:\WINDOWS\system32\MZQdpUJ.exe','');
QuarantineFile('C:\WINDOWS\system32\nuFI41s.exe','');
QuarantineFile('C:\WINDOWS\system32\Ho1LvBa.exe','');
QuarantineFile('C:\WINDOWS\system32\K7S4hIb.exe','');
QuarantineFile('C:\WINDOWS\system32\n6jFQpi.exe','');
QuarantineFile('C:\WINDOWS\system32\QAXApDr.exe','');
QuarantineFile('C:\WINDOWS\system32\bUNDGxy.exe','');
QuarantineFile('C:\WINDOWS\system32\7mlFmVQ.exe','');
QuarantineFile('C:\WINDOWS\system32\OmuMT1D.exe','');
QuarantineFile('C:\WINDOWS\system32\YmuOVe5.exe','');
QuarantineFile('C:\WINDOWS\system32\zdExMNb.exe','');
QuarantineFile('C:\WINDOWS\system32\rmvDpVP.exe','');
QuarantineFile('C:\WINDOWS\system32\PehW6SZ.exe','');
QuarantineFile('C:\WINDOWS\system32\M7givpK.exe','');
QuarantineFile('C:\WINDOWS\system32\GtLWs6g.exe','');
QuarantineFile('C:\WINDOWS\system32\ZdWtOhQ.exe','');
QuarantineFile('C:\WINDOWS\system32\fjhdyfhsn.bat','');
DeleteFile('C:\WINDOWS\system32\ZdWtOhQ.exe');
DeleteFile('C:\WINDOWS\system32\GtLWs6g.exe');
DeleteFile('C:\WINDOWS\system32\M7givpK.exe');
DeleteFile('C:\WINDOWS\system32\PehW6SZ.exe');
DeleteFile('C:\WINDOWS\system32\rmvDpVP.exe');
DeleteFile('C:\WINDOWS\system32\zdExMNb.exe');
DeleteFile('C:\WINDOWS\system32\YmuOVe5.exe');
DeleteFile('C:\WINDOWS\system32\OmuMT1D.exe');
DeleteFile('C:\WINDOWS\system32\7mlFmVQ.exe');
DeleteFile('C:\WINDOWS\system32\bUNDGxy.exe');
DeleteFile('C:\WINDOWS\system32\QAXApDr.exe');
DeleteFile('C:\WINDOWS\system32\n6jFQpi.exe');
DeleteFile('C:\WINDOWS\system32\K7S4hIb.exe');
DeleteFile('C:\WINDOWS\system32\Ho1LvBa.exe');
DeleteFile('C:\WINDOWS\system32\nuFI41s.exe');
DeleteFile('C:\WINDOWS\system32\MZQdpUJ.exe');
DeleteFile('C:\WINDOWS\system32\WyJaUC8.exe');
DeleteFile('C:\WINDOWS\system32\Glmss9F.exe');
DeleteFile('C:\WINDOWS\system32\KFeo9K2.exe');
DeleteFile('C:\WINDOWS\system32\f0TKpy0.exe');
DeleteFile('C:\WINDOWS\system32\k1NQIHA.exe');
DeleteFile('C:\WINDOWS\system32\aYsa1qO.exe');
 DeleteFile('C:\WINDOWS\system32\fjhdyfhsn.bat');
 DeleteFile('C:\Documents and Settings\Александр\Главное меню\Программы\Автозагрузка\wwwznv32.exe');
 DeleteFile('C:\WINDOWS\alg.exe');
 BC_DeleteFile('C:\WINDOWS\alg.exe');
 BC_DeleteFile('C:\Documents and Settings\Александр\Главное меню\Программы\Автозагрузка\wwwznv32.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','lsass');
DeleteFileMask('C:\Documents and Settings\Александр\Application Data\FieryAds','*.*',true);
DeleteDirectory('C:\Documents and Settings\Александр\Application Data\FieryAds');
DeleteFileMask('C:\Documents and Settings\Александр\Application Data\CMedia','*.*',true);
DeleteDirectory('C:\Documents and Settings\Александр\Application Data\CMedia');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('TSW',2,2,true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится!
Пришлите карантин по ссылке согласно правил Прислать запрошенный карантин вверху темы.
Скачайте файл ScanVuln.txt, скопируйте из него скрипт и выполните в AVZ. Пройдитесь по ссылкам из файла avz_log.txt и установите обновления. Сделайте новые логи, как в последних сообщениях

**sjohny23** · 28.07.2010, 17:28

quarantine.zip загрузить не получается.
Ошибка загрузки. Данный файл уже был загружен.

Папка "Quarantine" в каталоге AVZ пуста.

**polword** · 29.07.2010, 06:54

- Выполните скрипт в AVZ в безопасном режиме

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
 DeleteFile('C:\Documents and Settings\Александр\Главное меню\Программы\Автозагрузка\wwwznv32.exe');
 BC_ImportAll;
 ExecuteSysClean;
 ExecuteRepair(19);
 ExecuteWizard('TSW', 2, 2, true);
 ExecuteWizard('SCU', 2, 2, true);
 BC_Activate;
 RebootWindows(true);
end.

После перезагрузки:
- Сделайте повторный лог virusinfo_syscheck.zip;

**sjohny23** · 02.08.2010, 07:17

virusinfo_syscheck

**polword** · 02.08.2010, 07:38

- Выполните скрипт в AVZ

Код:

begin
 DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
 QuarantineFile('C:\Program Files\Game Accelerator\gamexl.exe','');
 QuarantineFile('C:\DOCUME~1\05A2~1\LOCALS~1\Temp\cpuz130\cpuz_x32.sys','');
 ExecuteWizard('TSW', 2, 2, true);
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
 RebootWindows(true);
end.

После перезагрузки:
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы

**sjohny23** · 02.08.2010, 16:44

Файл сохранён как 100802_164342_quarantine_4c56bd7e380cb.zip
Размер файла 159004
MD5 5cd0150fc7c280925704b63e8eac9991

**AndreyKa** · 07.08.2010, 12:43

Проблема решена?

**sjohny23** · 07.08.2010, 13:15

На сколько я могу судить, то да ошибка больше не появляется. Большое спасибо.

**CyberHelper** · 08.08.2010, 13:15

Статистика проведенного лечения:

Получено карантинов: 2
Обработано файлов: 21
В ходе лечения обнаружены вредоносные программы:
1. c:\documents and settings\александр\главное меню\программы\автозагрузка\wwwznv32.exe - Packed.Win32.Krap.ao ( DrWEB: Trojan.MulDrop1.39717, BitDefender: Trojan.Generic.4538593, AVAST4: Win32:Crypt-GYR [Drp] )
2. c:\windows\system32\uptlri.exe - Trojan.Win32.Jorik.Shiz.bt ( DrWEB: Trojan.Packed.20771, BitDefender: Gen:Trojan.Heur.FU.gq0@aWsyiFli, NOD32: Win32/Spy.Shiz.NAL trojan, AVAST4: Win32:MalOb-BW [Cryp] )
3. c:\windows\system32\7421e4ec.exe - Trojan.Win32.Jorik.Shiz.br ( DrWEB: Trojan.Packed.20771, BitDefender: Gen:Trojan.Heur.FU.cq0@aCYDq3gi, NOD32: Win32/Spy.Shiz.NAI trojan, AVAST4: Win32:MalOb-BW [Cryp] )

Ошибка при загрузке srnh.lto (заявка № 84002)

Опции темы