nod 32 выдает сообщение о вирусе после каждой загрузки. Эту тему уже поднимали, но не чего не помогет
Printable View
nod 32 выдает сообщение о вирусе после каждой загрузки. Эту тему уже поднимали, но не чего не помогет
[url]http://virusinfo.info/showthread.php?t=1235[/url]
Не могу вложить лог, выдает
[B]10053 - Ошибка соединения с сервером[/B]
HOST - virusinfo.info[216.246.90.119]; PORT - 80
Software caused connection abort
Traffic inspector HTTP/FTP/Proxy server (1.1.5.213)
Server - Server / 30.04.08 12:55:52
остальное выдает ошибки
вот
вот
Зловред:
[QUOTE]O20 - Winlogon Notify: WLCtrl32 - H:\WINDOWS\SYSTEM32\WLCtrl32.dll[/QUOTE]
Нужны логи AVZ.
Пофиксите в HijackThis:
[code]
F2 - REG:system.ini: UserInit=H:\WINDOWS\system32\userinit.exe,H:\WINDOWS\system32\ntos.exe,
O20 - Winlogon Notify: WinNt32 - H:\WINDOWS\SYSTEM32\WinNt32.dll
O20 - Winlogon Notify: WLCtrl32 - H:\WINDOWS\SYSTEM32\WLCtrl32.dll
[/code]
Не перезагружаясь после фикса, выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
StopService('Ybl57');
StopService('Lie74');
SetServiceStart('Ybl57', 4);
SetServiceStart('Lie74', 4);
QuarantineFile('H:\WINDOWS\system32\ntos.exe','');
QuarantineFile('H:\WINDOWS\system32\Drivers\Ybl57.sys','');
QuarantineFile('H:\WINDOWS\system32\Drivers\Lie74.sys','');
QuarantineFile('H:\WINDOWS\system32\WLCtrl32.dll','');
QuarantineFile('H:\WINDOWS\system32\WinNt32.dll','');
DeleteFile('H:\WINDOWS\system32\WinNt32.dll');
DeleteFile('H:\WINDOWS\system32\WLCtrl32.dll');
DeleteFile('H:\WINDOWS\system32\Drivers\Lie74.sys');
DeleteFile('H:\WINDOWS\system32\Drivers\Ybl57.sys');
DeleteFile('H:\WINDOWS\system32\ntos.exe');
BC_ImportDeletedList;
BC_DeleteSvc('Rws01');
BC_DeleteSvc('Qeh50');
BC_DeleteSvc('Ofb74');
BC_DeleteSvc('Gea52');
BC_DeleteSvc('Ybl57');
BC_DeleteSvc('Lie74');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: [url]http://virusinfo.info/upload_virus.php?tid=22219[/url]).
Обновите базы AVZ.
Сделайте новые логи.
Не удалось обновить базу AVZ, пишет что файл main025.avz поврежден
1. Скачайте IceSword: [url]http://mail.ustc.edu.cn/~jfpan/download/IceSword122en.zip[/url]
2. Запустите, слева внизу нажмите File, найдите файлы:
H:\WINDOWS\system32\Drivers\Ybl57.sys
H:\WINDOWS\system32\Drivers\Lie74.sys
H:\WINDOWS\system32\WLCtrl32.dll
H:\WINDOWS\system32\WinData.cab
Сделайте копии первых двух командой Copy to... (правой кнопкой мыши),
затем удалите все эти файлы командой Force Delete.
3. Пофиксите в HijackThis:
[code]O20 - Winlogon Notify: WLCtrl32 - C:\WINDOWS\SYSTEM32\WLCtrl32.dll[/code]
4. Выполните скрипт в AVZ:
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll');
DeleteFile('H:\WINDOWS\system32\Drivers\Ybl57.sys');
DeleteFile('H:\WINDOWS\system32\Drivers\Lie74.sys');
BC_ImportDeletedList;
BC_DeleteSvc('Ybl57');
BC_DeleteSvc('Lie74');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Пункты 2-4 выполнять подряд, без промежуточных перезагрузок, при отключенном интернете и антивирусе. После скрипта система перезагрузится.
Снова попробуйте обновить AVZ и повторите логи.
Копии, сделанные в п.2, пришлите по правилам.
новый лог
-
Отключите Антивирус и Интернет!
В IceSword сделайте вот этому файлу Jvr72.sys Force Delete,на запрос о перезагрузке ответьте положительно.
[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксить[/URL]
[CODE]O20 - Winlogon Notify: WinNt32 - H:\WINDOWS\SYSTEM32\WinNt32.dll[/CODE]
[URL="http://virusinfo.info/showthread.php?t=7239"]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/URL]
[CODE]begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('WinNt32.dll','');
QuarantineFile('H:\WINDOWS\System32\drivers\Jvr72.sys','');
QuarantineFile('H:\WINDOWS\system32\WinNt32.dll','');
DeleteService('Jvr72');
DeleteFile('H:\WINDOWS\system32\WinNt32.dll');
DeleteFile('H:\WINDOWS\System32\drivers\Jvr72.sys');
DeleteFile('WinNt32.dll');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteSvc('Jvr72 ');
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке:[url]http://virusinfo.info/upload_virus.php?tid=22219[/url]
Повторите логи.
новые логи
[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/URL] в HijackThis:
[QUOTE]O20 - Winlogon Notify: WinNt32 - H:\WINDOWS\[/QUOTE]
Еще есть проблемы?
антивирус сообщений не выдает, однако не могу войти в свой почтовый ящик, а если и вхожу то не могу открыть вложенные файлы
[url=http://virusinfo.info/showthread.php?t=7239]Выполните скрипт в AVZ[/url]:
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('H:\WINDOWS\System32\Drivers\Jvr72.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('Jvr72');
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Сделайте новые логи.
новые логи
Прокси-сервер сами так прописывали? -
[code]R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,[COLOR="Red"]ProxyServer = 10.0.0.1:8080[/COLOR][/code]
Если нет - попробуйте пофиксить.
Также для чистоты пофиксите это:
[code]O20 - Winlogon Notify: WinNt32 - H:\WINDOWS\[/code]
Больше ничего подозрительного в логах нет.
Спасибо большое, вирусов пока не видно, однако не могу открыть ящик на маил ру и не могу загрузить фотки
[B]10053 - Ошибка соединения с сервером[/B]
HOST - u9.odnoklassniki.ru[81.176.227.213]; PORT - 80
Software caused connection abort
Traffic inspector HTTP/FTP/Proxy server (1.1.5.213)
Server - Server / 15.05.08 12:19:26
В логах ничего подозрительного нет...
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]3[/B][*]Обработано файлов: [B]9[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] h:\\windows\\system32\\ntos.exe - [B]Trojan-Spy.Win32.Zbot.ayv[/B] (DrWEB: Trojan.Proxy.3176)[*] h:\\windows\\system32\\wlctrl32.dll - [B]Trojan-Downloader.Win32.Mutant.oo[/B] (DrWEB: Trojan.DownLoader.59094)[*] \\12 - [B]Trojan-Downloader.Win32.Agent.nsl[/B] (DrWEB: Trojan.NtRootKit.1051)[/LIST][/LIST]