Здравствуйте! выскакивает эта ошибка: KernelDrv.exe-Неверный образ, и при загрузке винды тоже куча ошибок. Логи прилагаются:
([ATTACH]40431[/ATTACH]
[ATTACH]40432[/ATTACH]
[ATTACH]40433[/ATTACH]
Printable View
Здравствуйте! выскакивает эта ошибка: KernelDrv.exe-Неверный образ, и при загрузке винды тоже куча ошибок. Логи прилагаются:
([ATTACH]40431[/ATTACH]
[ATTACH]40432[/ATTACH]
[ATTACH]40433[/ATTACH]
[url=http://virusinfo.info/showthread.php?t=7239]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/url]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
SetServiceStart('Schedule', 4);
SetServiceStart('lanmandrv', 4);
SetServiceStart('WinSecurServ05', 4);
StopService('Schedule');
StopService('WinSecurServ05');
StopService('lanmandrv');
QuarantineFile('C:\Program Files\Helper\1204439641.dll','');
QuarantineFile('D:\autorun.inf','');
QuarantineFile('C:\WINDOWS\Temp\1.exe','');
QuarantineFile('C:\WINDOWS\system32\winlagons.exe','');
QuarantineFile('c:\windows\system32\asussetup.dll','');
QuarantineFile('wmedia32.exe','');
QuarantineFile('C:\WINDOWS\TEMP\ieobj.dll','');
QuarantineFile('WLCtrl32.dll','');
QuarantineFile('C:\Documents and Settings\All Users\Документы\Settings\partnership.dll','');
QuarantineFile('C:\WINDOWS\system32\wowfx.dll','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\Ip6Fw.sys','');
QuarantineFile('C:\WINDOWS\System32\lanmandrv.sys','');
QuarantineFile('C:\WINDOWS\system32\Microsoft\svchost.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\spools.exe','');
QuarantineFile('C:\WINDOWS\system32\Drivers\Ydm84.sys','');
QuarantineFile('C:\WINDOWS\system\hipsrv.mm','');
QuarantineFile('C:\WINDOWS\System32\Drivers\a3uzc62q.SYS','');
QuarantineFile('C:\Program Files\ndhagjyl\gjnnyagh.dll','');
QuarantineFile('C:\WINDOWS\system32\WLCtrl32.dll','');
QuarantineFile('C:\WINDOWS\system32\ftpdll.dll','');
QuarantineFile('c:\windows\system32\kerneldrv.exe','');
QuarantineFile('c:\windows\system32\drivers\spools.exe','');
QuarantineFile('c:\documents and settings\Аня\local settings\application data\cftmon.exe','');
DeleteFile('c:\documents and settings\Аня\local settings\application data\cftmon.exe');
DeleteFile('c:\windows\system32\drivers\spools.exe');
DeleteFile('c:\windows\system32\kerneldrv.exe');
DeleteFile('C:\Documents and Settings\Аня\Local Settings\Application Data\cftmon.exe');
DeleteFile('C:\WINDOWS\system32\drivers\spools.exe');
DeleteFile('C:\WINDOWS\system32\ftpdll.dll');
DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll');
DeleteFile('C:\Program Files\ndhagjyl\gjnnyagh.dll');
DeleteFile('C:\WINDOWS\system\hipsrv.mm');
DeleteFile('C:\WINDOWS\system32\Drivers\Ydm84.sys');
DeleteFile('C:\WINDOWS\system32\Microsoft\svchost.exe');
DeleteFile('C:\WINDOWS\System32\lanmandrv.sys');
DeleteFile('C:\WINDOWS\system32\wowfx.dll');
DeleteFile('C:\Documents and Settings\All Users\Документы\Settings\partnership.dll');
DeleteFile('WLCtrl32.dll');
DeleteFile('C:\WINDOWS\TEMP\ieobj.dll');
DeleteFile('wmedia32.exe');
DeleteFile('c:\windows\system32\asussetup.dll');
DeleteFile('C:\WINDOWS\system32\drivers\ip6fw.sys');
DeleteFile('C:\WINDOWS\system32\lanmandrv.sys');
DeleteFile('C:\WINDOWS\system32\winlagons.exe');
DeleteFile('C:\WINDOWS\Temp\1.exe');
DeleteFile('D:\autorun.inf');
DeleteFile('C:\Program Files\Helper\1204439641.dll');
DelBHO('{36DBC179-A19F-48F2-B16A-6A3E19B42A87}');
DelBHO('{92780B25-18CC-41C8-B9BE-3C9C571A8263}');
DelBHO('{F10587E9-0E47-4CBE-ABCD-7DD20B8622FF}');
DelBHO('{B3B010A1-A877-4CD7-BAB5-9EE8F9965E20}');
DeleteService('lanmandrv');
DeleteService('WinSecurServ05');
DeleteService('Schedule');
BC_ImportALL;
BC_DeleteSvc('Ydm84');
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно [b]приложения 3 [url=http://virusinfo.info/showthread.php?t=1235]правил [/url][/b].
Загружать по ссылке: [url]http://virusinfo.info/upload_virus.php?tid=20685[/url]
Повторите логи
Скрипт выполнен...Карантин выслан...Логи прилагаютс
[ATTACH]40595[/ATTACH]
[ATTACH]40596[/ATTACH]
[ATTACH]40597[/ATTACH]
[URL="http://mail.ustc.edu.cn/~jfpan/download/IceSword122en.zip"]скачайте [/URL]C:\WINDOWS\system32\WLCtrl32.dll, C:\WINDOWS\System32\Drivers\Ydm84.sys - force delete
затем выполните скрипт авз ....
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\ctfmona.exe','');
QuarantineFile('C:\Documents and Settings\LocalService\Local Settings\Application Data\cftmon.exe','');
BC_DeleteSvc('hipsrv');
QuarantineFile('C:\WINDOWS\system\hipsrv.mm','');
QuarantineFile('C:\WINDOWS\system32\Drivers\Ydm84.sys','');
QuarantineFile('C:\WINDOWS\system32\WLCtrl32.dll','');
BC_DeleteSvc('Ydm84');
DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll');
DeleteFile('C:\WINDOWS\system\hipsrv.mm');
DeleteFile('C:\Documents and Settings\LocalService\Local Settings\Application Data\cftmon.exe');
DeleteFile('C:\WINDOWS\system32\ctfmona.exe');
DeleteFile('WLCtrl32.dll');
DeleteFile('wowfx.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил ...
повторите логи ...
C:\WINDOWS\system32\WLCtrl32.dll, C:\WINDOWS\System32\Drivers\Ydm84.sys - force delete -> сделано, скрипты выполнены, карантин отправлен, логи:
[ATTACH]40982[/ATTACH]
[ATTACH]40983[/ATTACH]
[ATTACH]40984[/ATTACH]
выполните скрипт ...
[code]
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\PROGRA~1\COMMON~1\INSTAL~1\UPDATE~1\isuspm.exe','');
QuarantineFile('C:\WINDOWS\Temp\BN7B.tmp','');
QuarantineFile('C:\WINDOWS\Installer\{ca82b94e-77f1-411d-9548-e0268e0f7f88}\DriveCD.dll','');
BC_DeleteSvc('Iile47');
QuarantineFile('Iile47.sys','');
DeleteFile('Iile47.sys');
DeleteFile('C:\WINDOWS\Temp\BN7B.tmp');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил ...
скрипт выполнен, карантин отправлен...
C:\WINDOWS\Installer\{ca82b94e-77f1-411d-9548-e0268e0f7f88}\DriveCD.dll [B]Trojan.Win32.Agent.fhg[/B]
C:\WINDOWS\Temp\BN7B.tmp [B]Trojan.Hotreg[/B]
C:\PROGRA~1\COMMON~1\INSTAL~1\UPDATE~1\isuspm.exe - чистый
выполните скрипт ....
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('C:\WINDOWS\Installer\{ca82b94e-77f1-411d-9548-e0268e0f7f88}\DriveCD.dll');
BC_ImportDeletedList;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
[/code]
повторите логи ...
Скрипт выполнил, логи:
Пофиксите
[quote]O20 - Winlogon Notify: partnershipreg - C:\WINDOWS\
O20 - Winlogon Notify: WLCtrl32 - C:\WINDOWS\[/quote]
Какие-то проблемы остались?
Пофиксил, вроде больше проблем нет...Биг сенк сервису :)