-
Вложений: 3
Надоедлевый ****WXYZ.SYS
Помогите пожалуйста. Очень надоел вирус, который постоянно выдает сообщения типа:
"P-07-0100 irql: 1f SYSVER 0xff00024
NT_Kernel error 1256
KHODE_EXCEPTION_NOT_HANDLED" или
"A potential problem has been detected and Windows has been shutdown buggy application to prevent damage to your comp
****WXYZ.SYS. Address F73120AE base at C00000
Date stamp 36bo72A3
Kernel Debugger Using: COM2(Port 0x28f, Baud rate 192000)".
также он создает все больше и больше различных файлов на диске С. Пробовал избавиться от него с помощью скриптов описанных в темах вашего форума, ноничего не помогло. Dr. Web тоже не спас. Пожалуйста помогите!
-
выполните скрипт ...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\DOCUME~1\NOSPHE~1\LOCALS~1\Temp\qrjatydi.exe','');
QuarantineFile('C:\WINDOWS\SYSTEM32\winpdc32.dll','');
QuarantineFile('C:\WINDOWS\system32\rovdieub.dll','');
QuarantineFile('C:\WINDOWS\system32\opnmmmn.dll','');
QuarantineFile('C:\WINDOWS\system32\kqitjfbk.dll','');
QuarantineFile('C:\WINDOWS\system32\ddccd.dll','');
DeleteFile('C:\WINDOWS\system32\ddccd.dll');
DeleteFile('C:\WINDOWS\system32\kqitjfbk.dll');
DeleteFile('C:\WINDOWS\system32\opnmmmn.dll');
DeleteFile('C:\WINDOWS\system32\rovdieub.dll');
DeleteFile('C:\WINDOWS\SYSTEM32\winpdc32.dll');
DeleteFile('C:\DOCUME~1\NOSPHE~1\LOCALS~1\Temp\qrjatydi.exe');
DeleteFile('C:\WINDOWS\system32\ntuyowqc.dll');
DelBHO('{F9005E46-DB71-490E-87EF-42ADB9D5D09F}');
DelBHO('{ca3738d7-8e5c-45dc-b623-d21300ab6899}');
DelBHO('{A95B2816-1D7E-4561-A202-68C0DE02353A}');
DelBHO('{6A11553E-7737-4DA8-8FFD-B6842B415702}');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил ...
повторите логи ...
-
Вложений: 3
После того, как был выполнен скрипт система стала работать быстрее, но файлы по прежнему не удаляются, а сообщения все еще появляются. Архив со списком карантина выслал, логи обновил.
-
пофиксите ....
[code]
O2 - BHO: (no name) - {A8FF7F40-8474-46D5-A0AE-1AE91BC99F4A} - C:\WINDOWS\system32\ddccd.dll (file missing)
O2 - BHO: (no name) - {A95B2816-1D7E-4561-A202-68C0DE02353A} - C:\WINDOWS\system32\cyeyxyip.dll
O20 - Winlogon Notify: cyeyxyip - C:\WINDOWS\SYSTEM32\cyeyxyip.dll
O20 - Winlogon Notify: opnmmmn - opnmmmn.dll (file missing)
O20 - Winlogon Notify: winpdc32 - winpdc32.dll (file missing)
[/code]
выполните скрипт ...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{A95B2816-1D7E-4561-A202-68C0DE02353A}');
DelBHO('{A8FF7F40-8474-46D5-A0AE-1AE91BC99F4A}');
DeleteFile('C:\WINDOWS\system32\ddccd.dll');
DeleteFile('C:\WINDOWS\system32\cyeyxyip.dll');
DeleteFileMask('C:\','*.tmp',true);
DeleteFileMask('C:\Documents and Settings\NospheratU\Мои документы\','*.tmp',true);
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
повторите логи ....
-
Итог лечения
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]43[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\ddccd.dll - [B]not-a-virus:AdWare.Win32.Virtumonde.jdo[/B] (DrWEB: Trojan.Virtumod.274)[*] c:\\windows\\system32\\kqitjfbk.dll - [B]Trojan.Win32.Monder.ai[/B] (DrWEB: Trojan.Virtumod.based)[*] c:\\windows\\system32\\opnmmmn.dll - [B]Trojan.Win32.Monder.gen[/B] (DrWEB: Trojan.Virtumod.based)[*] c:\\windows\\system32\\rovdieub.dll - [B]Trojan.Win32.Monder.gen[/B] (DrWEB: Trojan.Virtumod.272)[*] c:\\windows\\system32\\windows - [B]Trojan.Win32.Zapchast.dt[/B] (DrWEB: Trojan.Starter.341)[*] c:\\windows\\system32\\winpdc32.dll - [B]Trojan.Win32.Dialer.yz[/B] (DrWEB: Dialer.Brnd)[/LIST][/LIST]
Page generated in 0.00566 seconds with 10 queries