В обычном режиме комп ребутится сразу же после загрузки, или же на экране появляются темно-синие иероглифы. В безопасном режиме вроде в порядке...
Printable View
В обычном режиме комп ребутится сразу же после загрузки, или же на экране появляются темно-синие иероглифы. В безопасном режиме вроде в порядке...
Скачайте
[url=http://ifolder.ru/6493654]Icesword[/url]
Запустите программу.
Внизу слева выберите меню File.
Появится аналог проводника. Найдите в нем:
C:\WINDOWS\System32\Drivers\Tpvr66.sys
Нажмите по нему правой кнопкой мыши и выберите force delete.
На запрос потверждения ответьте "да".
Перезагрузите компьютер.
[size="1"][color="#666686"][B][I]Добавлено через 5 минут[/I][/B][/color][/size]
[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксить в HijackThis следующие строчки[/URL]
[CODE] F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe,
O20 - Winlogon Notify: kerberos4 - C:\WINDOWS\SYSTEM32\win32yyq.dll
O20 - Winlogon Notify: WLCtrl32 - C:\WINDOWS\SYSTEM32\WLCtrl32.dll[/CODE]
[URL="http://virusinfo.info/showthread.php?t=7239"]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/URL]
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
SetServiceStart('Dkm14', 4);
SetServiceStart('Microsoft Agent', 4);
StopService('Microsoft Agent');
QuarantineFile('C:\Program Files\OneStepSearch\onestep.dll','');
QuarantineFile('C:\Documents and Settings\Антон.1809BFB5E3414DC\Local Settings\Temp\winlogon.exe','');
QuarantineFile('C:\Documents and Settings\Антон.1809BFB5E3414DC\Local Settings\Temp\sv32_3.exe','');
QuarantineFile('c:\windows\system32\svchost.exe:ext.exe:$DATA','');
QuarantineFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe','');
QuarantineFile('win32yyq.dll','');
QuarantineFile('WLCtrl32.dll','');
QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
QuarantineFile('C:\Documents and Settings\Антон.1809BFB5E3414DC\Рабочий стол\Moto Racer 3\Mr3.exe','');
QuarantineFile('C:\DOCUME~1\2DA2~1.180\LOCALS~1\Temp\winlogon.exe','');
QuarantineFile('Ip6Fw.sys','');
QuarantineFile('C:\WINDOWS\system32\dllcache\qxchost.exe','');
QuarantineFile('Tpvr66.sys','');
QuarantineFile('protect.sys','');
QuarantineFile('C:\WINDOWS\Temp\IcnOvrly.dll','');
QuarantineFile('C:\WINDOWS\system32\win32yyq.dll','');
QuarantineFile('C:\WINDOWS\system32\autonju.dll','');
DeleteFile('C:\WINDOWS\system32\autonju.dll');
DeleteFile('C:\WINDOWS\system32\win32yyq.dll');
DeleteFile('C:\WINDOWS\Temp\IcnOvrly.dll');
DeleteFile('protect.sys');
DeleteFile('Tpvr66.sys');
DeleteFile('C:\WINDOWS\system32\dllcache\qxchost.exe');
DeleteFile('C:\WINDOWS\System32\Drivers\Dkm14.sys');
DeleteFile('C:\DOCUME~1\2DA2~1.180\LOCALS~1\Temp\winlogon.exe');
DeleteFile('C:\WINDOWS\system32\ntos.exe');
DeleteFile('WLCtrl32.dll');
DeleteFile('win32yyq.dll');
DeleteFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe');
DeleteFile('c:\windows\system32\svchost.exe:ext.exe:$DATA');
DeleteFile('c:\windows\system32\win32yyq.dll');
DeleteFile('C:\Documents and Settings\Антон.1809BFB5E3414DC\Local Settings\Temp\sv32_3.exe');
DeleteFile('C:\Documents and Settings\Антон.1809BFB5E3414DC\Local Settings\Temp\winlogon.exe');
DeleteFile('C:\WINDOWS\system32\svchost.exe:ext.exe:$DATA');
DeleteService('Dkm14');
DeleteService('Tpvr66.sys')
DeleteService('Microsoft Agent');
DelAutorunByFileName('WLCtrl32.dll');
BC_ImportALL;
BC_DeleteSvc('Browser');
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
[/code]
После выполнения скрипта компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
[size="1"][color="#666686"][B][I]Добавлено через 23 минуты[/I][/B][/color][/size]
Повторите логи.
Огромное спасибо, всё четко сработало... Высылаю файлы.
Где еще один лог?
Во-первых, ссылка на [B]icesword[/B] дохлая. Во-вторых, скрипт лечения/карантина и сбора информации вырубает комп, оставаляя на экране злополучные иероглифы.. Гриша, не сердись у кого с первого раза все получается?!
во первых ссылка рабочая ...
во вторых сосле удаления айсвордом все заработает ...
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]46[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\documents and settings\\антон.1809bfb5e3414dc\\local settings\\temp\\sv32_3.exe - [B]Trojan-Downloader.Win32.Diehard.fx[/B] (DrWEB: BackDoor.Bulknet.163)[*] c:\\documents and settings\\антон.1809bfb5e3414dc\\local settings\\temp\\winlogon.exe - [B]Trojan-Proxy.Win32.Small.jy[/B] (DrWEB: Trojan.Packed.573)[*] c:\\docume~1\\2da2~1.180\\locals~1\\temp\\winlogon.exe - [B]Trojan-Proxy.Win32.Small.jy[/B] (DrWEB: Trojan.Packed.573)[*] c:\\program files\\onestepsearch\\onestep.dll - [B]not-a-virus:AdWare.Win32.OneStep.d[/B] (DrWEB: Adware.OneStep)[*] c:\\windows\\system32\\dllcache\\qxchost.exe - [B]Backdoor.Win32.IRCBot.wd[/B] (DrWEB: Win32.HLLW.Zurenie)[*] c:\\windows\\system32\\ntos.exe - [B]Trojan-Spy.Win32.Zbot.bhu[/B] (DrWEB: Trojan.Packed.424)[*] c:\\windows\\system32\\svchost.exe:ext.exe:$data - [B]Trojan.Win32.Obfuscated.avi[/B] (DrWEB: Trojan.Spambot.3332)[*] c:\\windows\\system32\\win32yyq.dll - [B]Trojan.Win32.Zapchast.ep[/B] (DrWEB: Trojan.PWS.Mailspy.41)[*] c:\\windows\\system32\\wlctrl32.dll - [B]Trojan-Downloader.Win32.Mutant.bj[/B] (DrWEB: Trojan.DownLoader.54123)[*] c:\\windows\\temp\\icnovrly.dll - [B]Trojan-PSW.Win32.Agent.ais[/B] (DrWEB: Trojan.PWS.Poof)[/LIST][/LIST]