Не запускалась винда (SP SP1) в нормальном режиме, запустилась после скрипта AVZ сбора/лечения...
Не запускалась винда (SP SP1) в нормальном режиме, запустилась после скрипта AVZ сбора/лечения...
Последний раз редактировалось billyg; 29.05.2007 в 10:44.
Такую систему бесполезно лечить, так как через некоторое время подключения к и интернету будет полная коллекция зверейНужно обновлять по полной программе.
сделайте следующее :
AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.
Прислать весь карантин согласно приложения 3 правил .Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\System32\x2f4fr.dll',''); QuarantineFile('C:\WINDOWS\System32\winwgzje.exe',''); QuarantineFile('C:\WINDOWS\System32\a3dxx.dll',''); QuarantineFile('C:\DOCUME~1\07C4~1\LOCALS~1\Temp\winlogon.exe',''); QuarantineFile('C:\DOCUME~1\07C4~1\LOCALS~1\Temp\svchots.exe',''); QuarantineFile('C:\DOCUME~1\07C4~1\LOCALS~1\Temp\146.exe',''); QuarantineFile('Tpkd.sys',''); QuarantineFile('C:\WINDOWS\System32\gczz.dll',''); QuarantineFile('C:\Documents and Settings\All Users\Документы\Settings\winsys2f.dll',''); BC_ImportALL; BC_LogFile(GetAVZDirectory + 'boot_copy.log'); BC_Activate; RebootWindows(true); end.
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=9442........
P.s. вы антивирусом сканировали ? что-то не видно
Последний раз редактировалось drongo; 03.05.2007 в 10:54.
*Нажми и выполни, если хочешь чтобы помощь улучшилась и ускорилась
*MyFirefox Portable
special avz @ rapidshare.com
md5: 2091925798B7909E010E3F7E328C5F0D
Настройки прокси-сервера Вы сами прописывали?
Выполнил скрипт, в процессе перезагрузки система повисла, ребунтнул резетом, при старте написала ошибку (приложение что-то там наделало и было заветрешено - отправить отчёт или нет kernel32.exe). Накатил сп2, почитстил автозагрузку, сообщение пропало...Сканировал до этого МНОГО раз, что толку терять ещё 2-3 часа на бесполезный скан ? Сейчас проверки и скрипт повотрю, вышлю логи и карантин. Прокси моя.
Закачал карантин, высылаю логи ..злобная длл-ка не удалилась =(
Последний раз редактировалось billyg; 29.05.2007 в 10:44.
насчёт загруженного , хороший набор по касперскому :
Заражен: троянская программа Trojan-Proxy.Win32.Xorpix.ba =bcqr00019.dat 14.5 КБ
Заражен: троянская программа Trojan-Proxy.Win32.Xorpix.ba =bcqr00018.dat 14.5 КБ
Заражен: троянская программа Backdoor.Win32.Agent.adr =bcqr00017.dat 166 КБ
Заражен: троянская программа Backdoor.Win32.Agent.adr =bcqr00016.dat 166 КБ
Заражен: троянская программа Trojan-Proxy.Win32.Xorpix.m =bcqr00006.dat 9.8 КБ
Заражен: троянская программа Trojan-Proxy.Win32.Xorpix.m =bcqr00005.dat 9.8 КБ
Заражен: троянская программа Backdoor.Win32.SdBot.bce =bcqr00004.dat 89.4 КБ
Заражен: троянская программа Backdoor.Win32.SdBot.bce =bcqr00003.dat 89.4 КБ
Заражен: троянская программа Trojan-Proxy.Win32.Xorpix.ba =avz00010.dta 14.5 КБ
Заражен: троянская программа Backdoor.Win32.Agent.adr =avz00009.dta 166 КБ
Заражен: троянская программа Backdoor.Win32.SdBot.bce =avz00007.dta 89.4 КБ
Заражен: вирус Email-Worm.Win32.Zhelatin.dp =avz00006.dta 9.8 КБ
Заражен: вирус Email-Worm.Win32.Zhelatin.dp =avz00005.dta 9.8 КБ
Заражен: троянская программа Trojan-Proxy.Win32.Xorpix.m =avz00004.dta 9.8 КБ
Заражен: вирус Email-Worm.Win32.Zhelatin.dp =avz00003.dta 9.8 КБ
Заражен: троянская программа Trojan.Win32.Qhost.it =avz00002.dta 208 КБ
Заражен: троянская программа Trojan.Win32.Qhost.it = avz00001.dta 208 КБ
AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.
Прислать новый карантин согласно приложения 3 правил .Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); ClearQuarantine(); QuarantineFile('C:\WINDOWS\System32\x2f4fr.dll',''); QuarantineFile('C:\WINDOWS\System32\windev-1c6b-233a.sys',''); QuarantineFile('C:\WINDOWS\System32\wincom32.sys',''); QuarantineFile('C:\Documents and Settings\All Users\Документы\Settings\winsys2f.dll',''); BC_DeleteFile('C:\Documents and Settings\All Users\Документы\Settings\winsys2f.dll'); BC_DeleteFile('C:\WINDOWS\System32\gczz.dll'); BC_DeleteFile('C:\WINDOWS\System32\x2f4fr.dll'); BC_DeleteFile('C:\Documents and Settings\All Users\Документы\Settings\winsys2f.dll'); BC_ImportQuarantineList; BC_LogFile(GetAVZDirectory + 'boot_clr.log'); BC_Activate; ExecuteSysClean; ClearHostsFile; RebootWindows(false); end.
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=9442........
Последний раз редактировалось drongo; 03.05.2007 в 13:00.
*Нажми и выполни, если хочешь чтобы помощь улучшилась и ускорилась
*MyFirefox Portable
special avz @ rapidshare.com
md5: 2091925798B7909E010E3F7E328C5F0D
Да, большая коллекция! Вот еще в догонку:
Выполните, а потом уже грузите свежий карантинКод:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\System32\svshost.dll',''); DeleteFile('C:\WINDOWS\system32\a3dxx.dll'); DeleteFile('C:\WINDOWS\System32\winwgzje.exe'); DeleteFile('C:\xx1232255.exe'); DeleteFile('C:\WINDOWS\system32\kernels32.exe'); DeleteFile('C:\Documents and Settings\Алексей\Local Settings\Temporary Internet Files\Content.IE5\OJEL8JCR\win32[1].exe'); DeleteFile('C:\Documents and Settings\Алексей\Local Settings\Temporary Internet Files\Content.IE5\OJEL8JCR\60787[1].exe'); BC_ImportALL; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
P.S. А восстановление системы не забыли отключить?
Всё выполнил, залил свежий карантин, восстановление отключено давно уже =)
Повторите логи
Выполните скрипт:
а потом уже и логиКод:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('C:\WINDOWS\System32\windev-1c6b-233a.sys'); DeleteFile('C:\WINDOWS\System32\wincom32.sys'); DeleteFile('C:\WINDOWS\System32\svshost.dll'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
стандартный №3 уже выполнялся (он 1.5-2 часа выполняется), после выполнил
потом сделал Стандартный №2 логи скидываю, ещё 1 архив с заражённым залил куда обычноВыполните скрипт:
Код:
beginSearchRootkit(true, true);SetAVZGuardStatus(True); DeleteFile('C:\WINDOWS\System32\windev-1c6b-233a.sys'); DeleteFile('C:\WINDOWS\System32\wincom32.sys'); DeleteFile('C:\WINDOWS\System32\svshost.dll');BC_I mportDeletedList;ExecuteSysClean;BC_Activate;Reboo tWindows(true);end.
Последний раз редактировалось billyg; 29.05.2007 в 10:44.
Больше ж ничего не карантинили...архив с заражённым залил
Лог HijackThis еще прикрепите пожалуйста.
То ли логи старые загрузили , то ли не хотят они удаляться . Давайте вот этот скрипт :
Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('\??\C:\WINDOWS\System32\wincom32.sys'); DeleteFile('\??\C:\WINDOWS\System32\windev-1c6b-233a.sys'); DeleteFile('C:\Documents and Settings\All Users\Документы\Settings\winsys2f.dll'); DeleteFile('C:\WINDOWS\System32\gczz.dll'); DeleteFile('C:\WINDOWS\System32\x2f4fr.dll'); BC_DeleteFile('C:\WINDOWS\System32\x2f4fr.dll'); BC_DeleteFile('C:\Documents and Settings\All Users\Документы\Settings\winsys2f.dll'); BC_DeleteFile('C:\WINDOWS\System32\gczz.dll'); BC_DeleteFile('\??\C:\WINDOWS\System32\wincom32.sys'); BC_DeleteFile('\??\C:\WINDOWS\System32\windev-1c6b-233a.sys'); BC_Activate; ExecuteSysClean; RebootWindows(false); end.
Последний раз редактировалось drongo; 03.05.2007 в 15:02.
*Нажми и выполни, если хочешь чтобы помощь улучшилась и ускорилась
*MyFirefox Portable
special avz @ rapidshare.com
md5: 2091925798B7909E010E3F7E328C5F0D
Можно попробовать удалить из Safe Mode
Выполнил вышеупомянутый скрипт в безопасном. Скидываю новые логи.
Последний раз редактировалось billyg; 29.05.2007 в 10:44.
Теперь все чисто. Только пофиксите в HijackThis:
Код:O2 - BHO: C:\WINDOWS\System32\x2f4fr.dll - {8D5849C4-93F3-429D-FF34-260A2068897C} - C:\WINDOWS\System32\x2f4fr.dll (file missing) O20 - Winlogon Notify: A3dxq - C:\WINDOWS\ O20 - Winlogon Notify: reset5 - C:\WINDOWS\SYSTEM32\reset5.dll O20 - Winlogon Notify: winsys2freg - C:\WINDOWS\ O23 - Service: Reset 5 - Unknown owner - C:\WINDOWS\system32\srvany.exe (file missing)
Уважаемый(ая) billyg, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.