Здравствуйте! Помогите, пожалуйста, с вирусом - при включении ХР выдается сообщение с ошибкой "Ошибка при загрузке srnh.lto. Не найден указанный модуль".
Знаю что это вирус, видел подобную тему здесь на форуме. Надеюсь на скорый ответ! Спасибо!
Здравствуйте! Помогите, пожалуйста, с вирусом - при включении ХР выдается сообщение с ошибкой "Ошибка при загрузке srnh.lto. Не найден указанный модуль".
Знаю что это вирус, видел подобную тему здесь на форуме. Надеюсь на скорый ответ! Спасибо!
Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Обязательно!!! Системное восстановление!!! как- посмотреть можно тут
- Выгрузите антивирус и/или Файрвол
- Закройте все программы
- Выполните скрипт в AVZ
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,'); QuarantineFile('C:\WINDOWS\alg.exe',''); QuarantineFile('C:\WINDOWS\system32\uptlri.exe',''); QuarantineFile('\\?\globalroot\systemroot\system32\wKPYLRc.exe',''); QuarantineFile('C:\WINDOWS\system32\7421e4ec.exe',''); QuarantineFile('C:\Documents and Settings\Александр\Главное меню\Программы\Автозагрузка\wwwznv32.exe',''); QuarantineFile('C:\DOCUME~1\05A2~1\LOCALS~1\Temp\cpuz130\cpuz_x32.sys',''); DeleteFile('C:\Documents and Settings\Александр\Главное меню\Программы\Автозагрузка\wwwznv32.exe'); DeleteFile('C:\WINDOWS\system32\7421e4ec.exe'); DeleteFile('\\?\globalroot\systemroot\system32\wKPYLRc.exe'); DeleteFile('C:\WINDOWS\system32\uptlri.exe'); QuarantineFile('C:\WINDOWS\explorer.exe:userini.exe',''); DeleteFile('C:\WINDOWS\explorer.exe:userini.exe'); QuarantineFile('C:\WINDOWS\system32\srnh.lto',''); DeleteFile('C:\WINDOWS\system32\srnh.lto'); BC_ImportAll; ExecuteSysClean; ExecuteRepair(20); ExecuteWizard('TSW', 2, 2, true); ExecuteWizard('SCU', 2, 2, true); RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221); BC_Activate; RebootWindows(true); end.
- выполните такой скрипт
Профиксите в HijackThis, что останетсяКод:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темыКод:O4 - HKLM\..\Run: [Generic Host for Win32 Services] ‘|x O4 - HKCU\..\Run: [userini] C:\WINDOWS\explorer.exe:userini.exe O4 - HKCU\..\Policies\Explorer\Run: [userini] C:\WINDOWS\explorer.exe:userini.exe
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)
- Скачайте RSIT тут. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.
Файл сохранён как 100728_082105_quarantine_4c4fb031b12b4.zip
Размер файла 223843
MD5 2f40c4ecb0327ed800b71149815be13a
Последний раз редактировалось sjohny23; 28.07.2010 в 08:47.
1
Обновите базы AVZ при помощи автоматического обновления (Файл/Обновление баз)
Пофиксите в Hijackthis:Закройте все программы, выполните скрипт в AVZ:Код:R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.apeha.ru O4 - HKLM\..\Policies\Explorer\Run: [lsass] C:\WINDOWS\alg.exe O4 - Startup: wwwznv32.exeПосле выполнения скрипта компьютер перезагрузится!Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\aYsa1qO.exe',''); QuarantineFile('C:\WINDOWS\system32\k1NQIHA.exe',''); QuarantineFile('C:\WINDOWS\system32\f0TKpy0.exe',''); QuarantineFile('C:\WINDOWS\system32\KFeo9K2.exe',''); QuarantineFile('C:\WINDOWS\system32\Glmss9F.exe',''); QuarantineFile('C:\WINDOWS\system32\WyJaUC8.exe',''); QuarantineFile('C:\WINDOWS\system32\MZQdpUJ.exe',''); QuarantineFile('C:\WINDOWS\system32\nuFI41s.exe',''); QuarantineFile('C:\WINDOWS\system32\Ho1LvBa.exe',''); QuarantineFile('C:\WINDOWS\system32\K7S4hIb.exe',''); QuarantineFile('C:\WINDOWS\system32\n6jFQpi.exe',''); QuarantineFile('C:\WINDOWS\system32\QAXApDr.exe',''); QuarantineFile('C:\WINDOWS\system32\bUNDGxy.exe',''); QuarantineFile('C:\WINDOWS\system32\7mlFmVQ.exe',''); QuarantineFile('C:\WINDOWS\system32\OmuMT1D.exe',''); QuarantineFile('C:\WINDOWS\system32\YmuOVe5.exe',''); QuarantineFile('C:\WINDOWS\system32\zdExMNb.exe',''); QuarantineFile('C:\WINDOWS\system32\rmvDpVP.exe',''); QuarantineFile('C:\WINDOWS\system32\PehW6SZ.exe',''); QuarantineFile('C:\WINDOWS\system32\M7givpK.exe',''); QuarantineFile('C:\WINDOWS\system32\GtLWs6g.exe',''); QuarantineFile('C:\WINDOWS\system32\ZdWtOhQ.exe',''); QuarantineFile('C:\WINDOWS\system32\fjhdyfhsn.bat',''); DeleteFile('C:\WINDOWS\system32\ZdWtOhQ.exe'); DeleteFile('C:\WINDOWS\system32\GtLWs6g.exe'); DeleteFile('C:\WINDOWS\system32\M7givpK.exe'); DeleteFile('C:\WINDOWS\system32\PehW6SZ.exe'); DeleteFile('C:\WINDOWS\system32\rmvDpVP.exe'); DeleteFile('C:\WINDOWS\system32\zdExMNb.exe'); DeleteFile('C:\WINDOWS\system32\YmuOVe5.exe'); DeleteFile('C:\WINDOWS\system32\OmuMT1D.exe'); DeleteFile('C:\WINDOWS\system32\7mlFmVQ.exe'); DeleteFile('C:\WINDOWS\system32\bUNDGxy.exe'); DeleteFile('C:\WINDOWS\system32\QAXApDr.exe'); DeleteFile('C:\WINDOWS\system32\n6jFQpi.exe'); DeleteFile('C:\WINDOWS\system32\K7S4hIb.exe'); DeleteFile('C:\WINDOWS\system32\Ho1LvBa.exe'); DeleteFile('C:\WINDOWS\system32\nuFI41s.exe'); DeleteFile('C:\WINDOWS\system32\MZQdpUJ.exe'); DeleteFile('C:\WINDOWS\system32\WyJaUC8.exe'); DeleteFile('C:\WINDOWS\system32\Glmss9F.exe'); DeleteFile('C:\WINDOWS\system32\KFeo9K2.exe'); DeleteFile('C:\WINDOWS\system32\f0TKpy0.exe'); DeleteFile('C:\WINDOWS\system32\k1NQIHA.exe'); DeleteFile('C:\WINDOWS\system32\aYsa1qO.exe'); DeleteFile('C:\WINDOWS\system32\fjhdyfhsn.bat'); DeleteFile('C:\Documents and Settings\Александр\Главное меню\Программы\Автозагрузка\wwwznv32.exe'); DeleteFile('C:\WINDOWS\alg.exe'); BC_DeleteFile('C:\WINDOWS\alg.exe'); BC_DeleteFile('C:\Documents and Settings\Александр\Главное меню\Программы\Автозагрузка\wwwznv32.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','lsass'); DeleteFileMask('C:\Documents and Settings\Александр\Application Data\FieryAds','*.*',true); DeleteDirectory('C:\Documents and Settings\Александр\Application Data\FieryAds'); DeleteFileMask('C:\Documents and Settings\Александр\Application Data\CMedia','*.*',true); DeleteDirectory('C:\Documents and Settings\Александр\Application Data\CMedia'); BC_ImportALL; ExecuteSysClean; BC_Activate; ExecuteWizard('TSW',2,2,true); RebootWindows(true); end.
Пришлите карантин по ссылке согласно правил Прислать запрошенный карантин вверху темы.
Скачайте файл ScanVuln.txt, скопируйте из него скрипт и выполните в AVZ. Пройдитесь по ссылкам из файла avz_log.txt и установите обновления. Сделайте новые логи, как в последних сообщениях
quarantine.zip загрузить не получается.
Ошибка загрузки. Данный файл уже был загружен.
Папка "Quarantine" в каталоге AVZ пуста.
- Выполните скрипт в AVZ в безопасном режиме
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true); DeleteFile('C:\Documents and Settings\Александр\Главное меню\Программы\Автозагрузка\wwwznv32.exe'); BC_ImportAll; ExecuteSysClean; ExecuteRepair(19); ExecuteWizard('TSW', 2, 2, true); ExecuteWizard('SCU', 2, 2, true); BC_Activate; RebootWindows(true); end.
- Сделайте повторный лог virusinfo_syscheck.zip;
virusinfo_syscheck
- Выполните скрипт в AVZ
После перезагрузки:Код:begin DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true); QuarantineFile('C:\Program Files\Game Accelerator\gamexl.exe',''); QuarantineFile('C:\DOCUME~1\05A2~1\LOCALS~1\Temp\cpuz130\cpuz_x32.sys',''); ExecuteWizard('TSW', 2, 2, true); CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); RebootWindows(true); end.
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
Файл сохранён как 100802_164342_quarantine_4c56bd7e380cb.zip
Размер файла 159004
MD5 5cd0150fc7c280925704b63e8eac9991
Проблема решена?
На сколько я могу судить, то да ошибка больше не появляется. Большое спасибо.
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 21
- В ходе лечения обнаружены вредоносные программы:
- c:\documents and settings\александр\главное меню\программы\автозагрузка\wwwznv32.exe - Packed.Win32.Krap.ao ( DrWEB: Trojan.MulDrop1.39717, BitDefender: Trojan.Generic.4538593, AVAST4: Win32:Crypt-GYR [Drp] )
- c:\windows\system32\uptlri.exe - Trojan.Win32.Jorik.Shiz.bt ( DrWEB: Trojan.Packed.20771, BitDefender: Gen:Trojan.Heur.FU.gq0@aWsyiFli, NOD32: Win32/Spy.Shiz.NAL trojan, AVAST4: Win32:MalOb-BW [Cryp] )
- c:\windows\system32\7421e4ec.exe - Trojan.Win32.Jorik.Shiz.br ( DrWEB: Trojan.Packed.20771, BitDefender: Gen:Trojan.Heur.FU.cq0@aCYDq3gi, NOD32: Win32/Spy.Shiz.NAI trojan, AVAST4: Win32:MalOb-BW [Cryp] )
Уважаемый(ая) sjohny23, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.