Не работает компьютер

Printable View

Показывать 40 сообщений этой темы на одной странице

01.03.2008, 10:12
asale

Не работает компьютер

Добрый день.
Постоянно в процессе работы появляются окна IE и компьютер предлагает загрузить антивирус SPYGuardPro.
Все логи во вложении.
Как избавиться от этого - работать невозможно
01.03.2008, 10:24
V_Bond

выполните скрипт ...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\System32\Apwcmdnt.dll','');
QuarantineFile('C:\WINDOWS\twain_32.exe','');
QuarantineFile('C:\WINDOWS\system32\wowfx.dll','');
QuarantineFile('C:\WINDOWS\System32\yrgpit.dll','');
QuarantineFile('C:\WINDOWS\System32\wowfx.dll','');
QuarantineFile('C:\WINDOWS\System32\printer.exe','');
QuarantineFile('C:\WINDOWS\System32\ntos.exe','');
QuarantineFile('C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\autorun.exe','');
QuarantineFile('C:\WINDOWS\System32\CcEvtSvc.exe','');
QuarantineFile('Oaeo36.sys','');
QuarantineFile('C:\WINDOWS\system\hipsrv.mm','');
QuarantineFile('C:\WINDOWS\system32\LogCrypt.dll','');
QuarantineFile('C:\Documents and Settings\All Users\Документы\Settings\partnership.dll','');
QuarantineFile('c:\windows\system32\wmedia32.exe','');
QuarantineFile('c:\windows\system32\microsoft\svchost.exe','');
QuarantineFile('c:\windows\shell.exe','');
QuarantineFile('c:\windows\system32\drivers\spools.exe','');
QuarantineFile('c:\windows\system32\drivers\rsrvmon.exe','');
QuarantineFile('c:\windows\mmhren1.exe','');
QuarantineFile('c:\windows\system32\drivers\lssrv.exe','');
QuarantineFile('c:\windows\system32\_svchosta.exe','');
QuarantineFile('c:\windows\system32\_svchost.exe','');
DeleteFile('c:\windows\system32\_svchost.exe');
DeleteFile('c:\windows\system32\_svchosta.exe');
DeleteFile('c:\windows\system32\drivers\lssrv.exe');
DeleteFile('c:\windows\mmhren1.exe');
DeleteFile('c:\windows\system32\drivers\rsrvmon.exe');
DeleteFile('c:\windows\system32\drivers\spools.exe');
DeleteFile('c:\windows\system32\microsoft\svchost.exe');
DeleteFile('c:\windows\system32\wmedia32.exe');
DeleteFile('C:\Documents and Settings\All Users\Документы\Settings\partnership.dll');
DeleteFile('C:\WINDOWS\shell.exe');
DeleteFile('C:\WINDOWS\system32\LogCrypt.dll');
DeleteFile('C:\WINDOWS\system\hipsrv.mm');
DeleteFile('C:\WINDOWS\system32\drivers\Oaeo36.sys');
DeleteFile('C:\WINDOWS\System32\CcEvtSvc.exe');
DeleteFile('C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\autorun.exe');
DeleteFile('C:\WINDOWS\System32\ntos.exe');
DeleteFile('C:\WINDOWS\System32\printer.exe');
DeleteFile('C:\WINDOWS\System32\wowfx.dll');
DeleteFile('C:\WINDOWS\System32\yrgpit.dll');
DeleteFile('C:\WINDOWS\system32\wowfx.dll');
DeleteFile('C:\WINDOWS\twain_32.exe');
BC_DeleteSvc('Schedule');
BC_DeleteSvc('WinSecur05');
BC_DeleteSvc('Microsoft P2P2 Service');
BC_DeleteSvc('Microsoft Inet Servicea');
BC_DeleteSvc('Arp1349');
BC_DeleteSvc('CcEvtSvc');
BC_DeleteSvc('Oaeo36');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил ...
повторите логи ...
01.03.2008, 10:52
asale

Новые логи
01.03.2008, 11:11
asale

[quote=asale;195258]Новые логи[/quote]

Проблема не устранилась. Что можно сделать дальше?
01.03.2008, 11:12
V_Bond

[QUOTE=asale;195262]Проблема не устранилась. Что можно сделать дальше?[/QUOTE]
ну конечно .... у вас зверей больше чем системных файлов ... сейчас посмотрю новые логи....
01.03.2008, 11:17
Bratez

Все опять на месте! При выполнении скрипта было сообщение "Скрипт выполнен без ошибок" илирезко произошла перезагрузка?
01.03.2008, 11:18
asale

[quote=Bratez;195267]Все опять на месте! При выполнении скрипта было сообщение "Скрипт выполнен без ошибок" илирезко произошла перезагрузка?[/quote]

Резко произошла перезагрузка. Может его еще раз попробовать запустить?
01.03.2008, 11:21
V_Bond

отключитесь от интернета ...
выполните скрипт ...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
SetServiceStart('Schedule', 4);
DeleteService('Schedule');
StopService('Schedule');
SetServiceStart('WinSecur05', 4);
DeleteService('WinSecur05');
StopService('WinSecur05');
SetServiceStart('Microsoft P2P2 Service', 4);
DeleteService('Microsoft P2P2 Service');
StopService('Microsoft P2P2 Service');
DeleteService('Microsoft Inet Servicea');
SetServiceStart('Microsoft Inet Servicea', 4);
StopService('Microsoft Inet Servicea');
DeleteFile('c:\windows\temp\260c.tmp');
DeleteFile('C:\WINDOWS\system32\drivers\Oaeo36.sys');
DeleteFile('c:\windows\system32\_svchost.exe');
DeleteFile('c:\windows\system32\_svchosta.exe');
DeleteFile('c:\windows\system32\drivers\lssrv.exe');
DeleteFile('c:\windows\mmhren1.exe');
DeleteFile('c:\windows\system32\drivers\rsrvmon.exe');
DeleteFile('c:\windows\shell.exe');
DeleteFile('c:\windows\system32\drivers\spools.exe');
DeleteFile('c:\windows\system32\microsoft\svchost.exe');
DeleteFile('c:\windows\system32\winmed.exe');
DeleteFile('C:\Documents and Settings\All Users\Документы\Settings\partnership.dll');
DeleteFile('C:\WINDOWS\mmhren1.exe');
DeleteFile('C:\WINDOWS\system32\LogCrypt.dll');
DeleteFile('C:\WINDOWS\system32\Microsoft\svchost.exe');
DeleteFile('C:\WINDOWS\System32\mstscex.dll');
DeleteFile('C:\WINDOWS\System32\winmed.exe');
DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll');
DeleteFile('C:\WINDOWS\System32\yrgpit.dll');
DeleteFile('C:\WINDOWS\TEMP\ieobj.dll');
DeleteFile('C:\WINDOWS\system\hipsrv.mm');
DeleteFile('Oaeo36.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Yhn45.sys');
DeleteFile('C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\autorun.exe');
DeleteFile('C:\Documents and Settings\LocalService\Local Settings\Application Data\cftmon.exe');
DeleteFile('C:\Documents and Settings\Пользователь\Главное меню\Программы\Автозагрузка\findfast.exe');
DeleteFile('C:\WINDOWS\System32\ntos.exe');
DeleteFile('C:\WINDOWS\System32\printer.exe');
DeleteFile('C:\WINDOWS\System32\spoolvs.exe');
DeleteFile('C:\WINDOWS\System32\wowfx.dll');
DeleteFile('C:\WINDOWS\TEMP\winlogan.exe');
DeleteFile('C:\WINDOWS\System32\wmedia32.exe');
DeleteFile('C:\WINDOWS\twain_32.exe');
DeleteFile('WLCtrl32.dll');
DeleteFile('C:\WINDOWS\system32\drivers\Hba26.sys');
DeleteFile('C:\WINDOWS\system32\drivers\kcp.sys');
DeleteFile('C:\WINDOWS\system32\drivers\lssrv.exe');
DeleteFile('C:\WINDOWS\system32\drivers\rsrvmon.exe');
DeleteFile('C:\WINDOWS\system32\drivers\runtime2.sys');
DeleteFile('C:\WINDOWS\system32\mstscex.dll');
DeleteFile('C:\WINDOWS\system32\netrfds228.exe');
DeleteFile('C:\WINDOWS\system32\netrfds319.exe');
DeleteFile('C:\WINDOWS\system32\netrfds331.exe');
DeleteFile('C:\WINDOWS\system32\netrfds367.exe');
DeleteFile('C:\WINDOWS\system32\netrfds374.exe');
DeleteFile('C:\WINDOWS\system32\netrfds376.exe');
DeleteFile('C:\WINDOWS\system32\netrfds379.exe');
DeleteFile('C:\WINDOWS\system32\netrfds388.exe');
DeleteFile('C:\WINDOWS\system32\netrfds395.exe');
DeleteFile('C:\WINDOWS\system32\oleauth32.dll');
DeleteFile('C:\WINDOWS\system32\printer.exe');
DeleteFile('C:\WINDOWS\system32\spoolvs.exe');
DeleteFile('C:\WINDOWS\system32\update1121.exe');
DeleteFile('C:\WINDOWS\system32\wmedia32.exe');
DeleteFile('C:\WINDOWS\system32\wowfx.dll');
DeleteFile('C:\WINDOWS\system32\yrgpit.dll');
DeleteFile('C:\WINDOWS\system32\_svchost.exe');
DeleteFile('C:\WINDOWS\system32\_svchosta.exe');
DeleteFile('C:\WINDOWS\Temp\385E.tmp');
DeleteFile('C:\WINDOWS\Temp\loader.exe');
BC_DeleteSvc('Schedule');
BC_DeleteSvc('WinSecur05');
BC_DeleteSvc('Microsoft P2P2 Service');
BC_DeleteSvc('Microsoft Inet Servicea');
BC_DeleteSvc('Arp1349');
BC_DeleteSvc('CcEvtSvc');
BC_DeleteSvc('Oaeo36');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
выполните пункт 2 правил ....
повторите логи ...
01.03.2008, 11:37
asale

Сейчас появилась инфо, что скрипты выполнены корректно. Компьютер перезагрузился.
Новые логи во вложении
01.03.2008, 11:39
asale

[quote=asale;195276]Сейчас появилась инфо, что скрипты выполнены корректно. Компьютер перезагрузился.
Новые логи во вложении[/quote]

Добавил еще один файл
01.03.2008, 11:50
V_Bond

не нужно цитировать сообщения .... поудаляейте лишнее из своих постов ....
[b]Программу [url]http://www.tksinc.us/downloads/WinsockXPFix.exe[/url] [/b]нужно скачать заранее ... после выполнения скрипта может пропасть интернет ... запишите настройки сети после применения WinsockXPFix их придется ввести заново ...
выполните скрипт ...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\System32\Apwcmdnt.dll','');
DelBHO('{B3B010A1-A877-4CD7-BAB5-9EE8F9965E20}');
QuarantineFile('C:\WINDOWS\System32\Drivers\Yhn45.sys','');
QuarantineFile('C:\WINDOWS\system32\WLCtrl32.dll','');
QuarantineFile('C:\WINDOWS\system32\crypts.dll','');
DeleteFile('C:\WINDOWS\system32\crypts.dll');
DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll');
DeleteFile('C:\WINDOWS\System32\Drivers\Yhn45.sys');
DeleteFile('C:\WINDOWS\mmhren1.exe');
DeleteFile('LogCrypt.dll');
DeleteFile('C:\WINDOWS\TEMP\ieobj.dll');
DeleteFile('C:\Program Files\SanitarDiska\secure_del.dll');
DeleteFile('c:\windows\system32\apwcmdnt.dll');
DeleteFile('c:\program files\maryno.net\install_sbd_en.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пофиксите ...
[code]
O4 - HKLM\..\Run: [WMedia32] wmedia32.exe
O4 - HKLM\..\Run: [WinMed] winmed.exe
O20 - Winlogon Notify: crypt - C:\WINDOWS\SYSTEM32\crypts.dll
O20 - Winlogon Notify: LogCrypt - LogCrypt.dll (file missing)
O20 - Winlogon Notify: partnershipreg - C:\WINDOWS\
O20 - Winlogon Notify: WLCtrl32 - C:\WINDOWS\SYSTEM32\WLCtrl32.dll
O22 - SharedTaskScheduler: sdf4dr4gfdgeetj - {B5AC49A2-94F3-42BD-F434-2604812C897D} - (no file)
[/code]
повторите логи ...
01.03.2008, 12:08
asale

Новые логи
01.03.2008, 12:19
V_Bond

[URL="http://mail.ustc.edu.cn/~jfpan/download/IceSword122en.zip"]скачать [/URL] найти C:\WINDOWS\System32\Drivers\Yhn45.sys - force delete.
затем выполните скрипт авз ....
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('c:\program files\tmp88062.exe');
DeleteFile('c:\program files\tmp89015.exe');
DeleteFile('c:\program files\tmp89125.exe');
DeleteFile('c:\program files\tmp89390.exe');
DeleteFile('c:\program files\tmp90265.exe');
DeleteFile('c:\docume~1\86c2~1\locals~1\temp\winlook.exe');
DeleteFile('C:\DOCUME~1\86C2~1\LOCALS~1\Temp\winlook.exe');
DeleteFile('C:\Program Files\tmp88062.exe');
DeleteFile('C:\Program Files\tmp89015.exe');
DeleteFile('C:\Program Files\tmp89125.exe');
DeleteFile('C:\Program Files\tmp89390.exe');
DeleteFile('C:\Program Files\tmp90265.exe');
DeleteFile('C:\WINDOWS\System32\Drivers\Yhn45.sys');
DeleteFile('C:\WINDOWS\mmhren1.exe');
DeleteFile('wowfx.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
[B]обязательно[/B] выполните пукт 2 правил ...
повторите логи ....
01.03.2008, 12:37
asale

Новые логи
01.03.2008, 13:32
akok

даа...
Пофиксить в HijackThis следующие строчки ( [url]http://virusinfo.info/showthread.php?t=4491[/url] )
[CODE]
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\shell.exe
O4 - HKLM\..\Run: [Printer] C:\WINDOWS\System32\printer.exe
O4 - HKCU\..\Run: [Spoolsv] C:\WINDOWS\System32\spoolvs.exe
O20 - Winlogon Notify: WLCtrl32 - C:\WINDOWS\SYSTEM32\WLCtrl32.dll
[/CODE]

[size="1"][color="#666686"][B][I]Добавлено через 3 минуты[/I][/B][/color][/size]

[url=http://virusinfo.info/showthread.php?t=7239]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/url]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
SetServiceStart('hipsrv', 4);
StopService('hipsrv');
QuarantineFile('c:\windows\installer\{62ebba09-60c3-4226-b8bb-bab9d91c1c5d}\monwin.dll','');
QuarantineFile('C:\WINDOWS\System32\spoolvs.exe','');
QuarantineFile('C:\WINDOWS\System32\printer.exe','');
QuarantineFile('WLCtrl32.dll','');
QuarantineFile('Explorer.exe C:\WINDOWS\shell.exe','');
QuarantineFile('C:\WINDOWS\mmhren1.exe','');
QuarantineFile('C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\autorun.exe','');
QuarantineFile('C:\WINDOWS\system\hipsrv.mm','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Yhn45.sys','');
QuarantineFile('C:\WINDOWS\system32\WLCtrl32.dll','');
QuarantineFile('C:\WINDOWS\Installer\{62ebba09-60c3-4226-b8bb-bab9d91c1c5d}\MonWin.dll','');
QuarantineFile('C:\WINDOWS\Installer\{bd6014ca-d0fe-4fa1-adea-69b0acbe87df}\zip.dll','');
QuarantineFile('c:\windows\shell.exe','');
DeleteFile('c:\windows\shell.exe');
DeleteFile('C:\WINDOWS\Installer\{bd6014ca-d0fe-4fa1-adea-69b0acbe87df}\zip.dll');
DeleteFile('C:\WINDOWS\Installer\{62ebba09-60c3-4226-b8bb-bab9d91c1c5d}\MonWin.dll');
DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll');
DeleteFile('C:\WINDOWS\System32\Drivers\Yhn45.sys');
DeleteFile('C:\WINDOWS\system\hipsrv.mm');
DeleteFile('C:\WINDOWS\mmhren1.exe');
DeleteFile('Explorer.exe C:\WINDOWS\shell.exe');
DeleteFile('WLCtrl32.dll');
DeleteFile('C:\WINDOWS\System32\spoolvs.exe');
DeleteService('hipsrv');
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows NT\CurrentVersion\Windows','Run');
BC_ImportALL;
ExecuteRepair(6);
ExecuteRepair(8);
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно [b]приложения 3 [url=http://virusinfo.info/showthread.php?t=1235]правил [/url][/b].
Загружать по ссылке: [url]http://virusinfo.info/upload_virus.php?tid=18925[/url]

Повторите логи
01.03.2008, 13:33
asale

Пофиксил.
Новые логи
01.03.2008, 13:34
asale

[quote=asale;195310]Пофиксил.
Новые логи[/quote]

Извиняюсь, еще не новые логи
01.03.2008, 13:41
asale

А вот теперь все новое
01.03.2008, 13:55
akok

Дело движеться
Пофиксить в HijackThis следующие строчки ( [url]http://virusinfo.info/showthread.php?t=4491[/url] )
[CODE] O20 - Winlogon Notify: WLCtrl32 - C:\WINDOWS\SYSTEM32\WLCtrl32.dll [/CODE]

[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]

[url=http://virusinfo.info/showthread.php?t=7239]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/url]
[CODE]begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('WLCtrl32.dll');
BC_ImportDeletedList;
BC_DeleteFile('c:\windows\system32\printer.exe');
BC_DeleteFile('C:\WINDOWS\System32\printer.exe');
BC_DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll');
BC_DeleteFile('C:\WINDOWS\System32\Drivers\Yhn45.sys');
BC_DeleteFile('C:\WINDOWS\System32\spoolvs.exe');
BC_Activate;
ExecuteRepair(6);
ExecuteRepair(8);
ExecuteRepair(16);
ExecuteRepair(17);
ExecuteSysClean;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится

Насколько я понял 3 стандартный скрипт не выполняеться? Попробуйте
01.03.2008, 14:01
asale

Сейчас выполнился корректно.
Новые логи во вложении

Показывать 40 сообщений этой темы на одной странице