здравствуйте. у меня обычная проблема: где-то удалось подхватить вирусов. комп что-то долго грузит после загрузки винды, да так, что невозможно работать. в общем, обычная история. помогите, пожалуйста.
Printable View
здравствуйте. у меня обычная проблема: где-то удалось подхватить вирусов. комп что-то долго грузит после загрузки винды, да так, что невозможно работать. в общем, обычная история. помогите, пожалуйста.
Ad-Aware удалить ....
восстановление системы - отключить ...
выполните скрипт ...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\svchost.exe:ext.exe:$DATA','');
DeleteFile('C:\WINDOWS\system32\svchost.exe:ext.exe:$DATA');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил ...
повторите логи ...
простите, а Вы не могли бы проверить всё заново? вот новые логи. просто в прошлый раз не получилось доделать процедуру (хотя скрипт выполнил), и вдобавок появились различные поп-апы, предлагающие якобы купить / скачать различные ad-aware программы.
удалите все антиспаи !!! толку от них 0 (оставте только антивирус).... а лечению мешать будут ...
[URL="http://mail.ustc.edu.cn/~jfpan/download/IceSword122en.zip"]скачайте [/URL] C:\WINDOWS\System32\drivers\Vcg04.sys - force delete
віполните скрипт авз
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\dllcache\comctl32.dll:_rc_db_sec_obj:$DATA','');
QuarantineFile('C:\WINDOWS\system32\dllcache\comctl32.dll:_rc_db_5.1.2600:$DATA','');
QuarantineFile('C:\WINDOWS\system32\comctl32.dll:_rc_db_sec_obj:$DATA','');
QuarantineFile('C:\WINDOWS\system32\comctl32.dll:_rc_db_5.1.2600:$DATA','');
QuarantineFile('c:\windows\system32\comctl32.dll:_rc_db_sec_obj:$DATA','');
QuarantineFile('c:\windows\system32\comctl32.dll:_rc_db_5.1.2600:$DATA','');
DelBHO('{fc3a74e5-f281-4f10-ae1e-733078684f3c}');
DelBHO('{ffff0001-0002-101a-a3c9-08002b2f49fb}');
DelBHO('{9c5b2f29-1f46-4639-a6b4-828942301d3e}');
DelBHO('{965a592f-8efa-4250-8630-7960230792f1}');
DelBHO('{8674aea0-9d3d-11d9-99dc-00600f9a01f1}');
DelBHO('{622cc208-b014-4fe0-801b-874a5e5e403a}');
DelBHO('{5fa6752a-c4a0-4222-88c2-928ae5ab4966}');
DelBHO('{5dafd089-24b1-4c5e-bd42-8ca72550717b}');
DelBHO('{5929cd6e-2062-44a4-b2c5-2c7e78fbab38}');
DelBHO('{4e7bd74f-2b8d-469e-92c6-ce7eb590a94d}');
DelBHO('{4e1075f4-eec4-4a86-add7-cd5f52858c31}');
DelBHO('{15651c7c-e812-44a2-a9ac-b467a2233e7d}');
DelBHO('{13197ace-6851-45c3-a7ff-c281324d5489}');
DelBHO('{00000250-0320-4dd4-be4f-7566d2314352}');
QuarantineFile('C:\Documents and Settings\HooverCraft\Local Settings\Application Data\loads_lamo.exe','');
QuarantineFile('C:\DOCUME~1\HOOVER~1\LOCALS~1\Temp\loader.exe','');
BC_DeleteSvc('ndisaluo');
QuarantineFile('C:\WINDOWS\system32\Drivers\ndisaluo.sys','');
BC_DeleteSvc('ntio922');
BC_DeleteSvc('Fkp73');
QuarantineFile('C:\WINDOWS\System32\Drivers\Fkp73.sys','');
BC_DeleteSvc('diperto13aa-ec1');
QuarantineFile('C:\WINDOWS\system32\diperto13aa-ec1.sys','');
BC_DeleteSvc('Schedule');
QuarantineFile('C:\WINDOWS\system32\drivers\loads_lamonax.exe','');
BC_DeleteSvc('CcEvtSvc');
QuarantineFile('C:\WINDOWS\System32\CcEvtSvc.exe','');
QuarantineFile('C:\WINDOWS\System32\drivers\Vcg04.sys','');
QuarantineFile('C:\WINDOWS\system32\ftpdll.dll','');
QuarantineFile('C:\Documents and Settings\All Users\Документы\Settings\partnership.dll','');
QuarantineFile('c:\windows\winlogon.exe','');
QuarantineFile('c:\windows\system32\drivers\spools.exe','');
QuarantineFile('c:\docume~1\hoover~1\locals~1\temp\setup.exe','');
QuarantineFile('c:\windows\system32\mgmrwmrv.exe','');
QuarantineFile('C:\WINDOWS\explorer.exe','');
QuarantineFile('c:\docume~1\hoover~1\locals~1\temp\7498.tmp','');
QuarantineFile('c:\docume~1\hoover~1\locals~1\temp\3cfa.tmp','');
QuarantineFile('c:\docume~1\hoover~1\locals~1\temp\1d1e.tmp','');
DeleteFile('c:\docume~1\hoover~1\locals~1\temp\1d1e.tmp');
DeleteFile('c:\docume~1\hoover~1\locals~1\temp\3cfa.tmp');
DeleteFile('c:\docume~1\hoover~1\locals~1\temp\7498.tmp');
DeleteFile('c:\windows\system32\mgmrwmrv.exe');
DeleteFile('c:\docume~1\hoover~1\locals~1\temp\setup.exe');
DeleteFile('c:\windows\system32\drivers\spools.exe');
DeleteFile('c:\windows\winlogon.exe');
DeleteFile('C:\WINDOWS\system32\ftpdll.dll');
DeleteFile('C:\WINDOWS\System32\drivers\Vcg04.sys');
DeleteFile('C:\WINDOWS\System32\CcEvtSvc.exe');
DeleteFile('C:\WINDOWS\system32\drivers\loads_lamonax.exe');
DeleteFile('C:\WINDOWS\system32\diperto13aa-ec1.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Fkp73.sys');
DeleteFile('C:\WINDOWS\system32\Drivers\ntio922.sys');
DeleteFile('C:\WINDOWS\system32\Drivers\ndisaluo.sys');
DeleteFile('C:\DOCUME~1\HOOVER~1\LOCALS~1\Temp\loader.exe');
DeleteFile('C:\Documents and Settings\HooverCraft\Local Settings\Application Data\loads_lamo.exe');
DeleteFile('WLCtrl32.dll');
DeleteFile('kdmhg.exe');
DeleteFile('c:\windows\system32\comctl32.dll:_rc_db_5.1.2600:$DATA');
DeleteFile('c:\windows\system32\comctl32.dll:_rc_db_sec_obj:$DATA');
DeleteFile('C:\WINDOWS\system32\comctl32.dll:_rc_db_5.1.2600:$DATA');
DeleteFile('C:\WINDOWS\system32\comctl32.dll:_rc_db_sec_obj:$DATA');
DeleteFile('C:\WINDOWS\system32\dllcache\comctl32.dll:_rc_db_5.1.2600:$DATA');
DeleteFile('C:\WINDOWS\system32\dllcache\comctl32.dll:_rc_db_sec_obj:$DATA');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил ...
повторите логи ...
скачал icesworld, нашёл этот файл, вроде удалил, антиспаи удалил, скрипт выполнил, но теперь при запуске мне винда пишет что explorer.exe не удаётся запуститься, т.к. не найден какой-то файл.... пишу уже с другой винды.
карантин выслал.
логи тоже сдругой винды .. ? смысла в них нет ...
на какой файл ругается ?
логи с другой винды, но я в авз отметил тот hdd, на котором установлена проблемная винда.
у файла длинное имя, минуточку...
нет так логи не делают ... это не то ...
пишет, что explorer.exe не удалось найти компонент... приложению не удалось запуститься, т.к. файл comctl32.dll:_vc_db_51_2000 не был найден.
логи попробую сделать в safe mode.
[size="1"][color="#666686"][B][I]Добавлено через 6 минут[/I][/B][/color][/size]
увы, в safe mode такая же проблема: не загружается винда.
поправка небольшая: имя файла - comctl32.dll:_vc_db_51_2[b]6[/b]00
в карантине только ...
C:\WINDOWS\system32\w32sys15.exe Trojan.Agent.AGRM ...
попробуйте загрузить последнюю рабочую конфигурацию ...
попробовал, всё равно не загружается и просит этот файл. если я новый comctl32.dll скопирую в /system32, это мне что-то даст? как-то ещё можно решить эту проблему или винду на снос?
накатите винду в режиме восстановления ... должно помочь ...
затем сделайте логи ..
простите за глупый вопрос, а это как? просто у меня восстановление системы на той винде было отключено, т.к. того требовало лечение.
это ... запустите установку windows ... вам будет задан вопрос - установить в новую папку и ли восстановить копию виндовс .... выбираете поврежденный ....
простите за ламерство, но если Вы имеете ввиду установку виндоус с диска, то там нет опции восстановления. по крайней мере найти я её не смог.
[URL="http://www.windowsfaq.ru/content/view/42/37/"]тут подробно[/URL]
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]1[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\w32sys15.exe - [B]Trojan.PHP.Turame.a[/B] (DrWEB: Trojan.Roro)[/LIST][/LIST]