Принесли комп.
А там какая-то фигня твориться
Вообщем стоял NOD32.
AVZ кое-как запустил.
Постоянно закрывалось окно
Printable View
Принесли комп.
А там какая-то фигня твориться
Вообщем стоял NOD32.
AVZ кое-как запустил.
Постоянно закрывалось окно
Ну и помойка,готовтесь к бою:(
Отключите восстановление системы,антивирус(если вообще есть) и интернет!
[URL="http://mail.ustc.edu.cn/~jfpan/download/IceSword122en.zip"]Скачать[/URL],меню,File,появится аналог проводника,найти:
[CODE]C:\WINDOWS\system32\WinCtrl32.dll
C:\WINDOWS\system32\Drivers\Winag17.sys
C:\WINDOWS\system32\Drivers\Yad11.sys[/CODE]
правая кнопка мыши Force Delete на запрос о перезагрузке ответьте положительно.
[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксить[/URL]
[CODE]F2 - REG:system.ini: Shell=Explorer.exe "C:\Documents and Settings\Администратор\Рабочий стол\inbt684.exe"
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\drivers\services.exe
O2 - BHO: Microsoft copyright - {FFFFFFFF-BBBB-4146-86FD-A722E8AB3489} - sockots64.dll (file missing)
O4 - HKUS\S-1-5-18\..\Run: [winlogon] C:\Documents and Settings\LocalService\svchost.exe (User 'SYSTEM')
O4 - Startup: userinit.exe
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.115.74 85.255.112.8
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.115.74 85.255.112.8
O17 - HKLM\System\CS3\Services\Tcpip\Parameters: NameServer = 85.255.115.74 85.255.112.8
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.115.74 85.255.112.8
O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\SYSTEM32\WinCtrl32.dll
O21 - SSODL: UpdateCheck - {DC87B8AC-FB65-4285-81CB-E5495B1D4173} - (no file)
O21 - SSODL: WebProxy - {66186F05-BBBB-4a39-864F-72D84615C679} - sockots64.dll (file missing)[/CODE]
[URL="http://virusinfo.info/showthread.php?t=7239"]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\system32\drivers\services.exe');
TerminateProcessByName('c:\documents and settings\Администратор\ie_updates3r.exe');
SetServiceStart('Google Online Services', 4);
StopService('Google Online Services');
QuarantineFile('C:\WINDOWS\system32\windfire.exe','');
QuarantineFile('C:\WINDOWS\system32\nvidia32.exe','');
QuarantineFile('kdhly.exe','');
QuarantineFile('WinCtrl32.dll','');
QuarantineFile('C:\Documents and Settings\Администратор\Рабочий стол\inbt684.exe','');
QuarantineFile('C:\WINDOWS\system32\shell64.dll','');
QuarantineFile('C:\WINDOWS\helloserv.exe','');
QuarantineFile('C:\Documents and Settings\Администратор\Главное меню\Программы\Автозагрузка\userinit.exe','');
QuarantineFile('C:\Documents and Settings\LocalService\svchost.exe','');
QuarantineFile('c:\huadio.tmp','');
QuarantineFile('C:\WINDOWS\system32\Drivers\Yad11.sys ',' ');
QuarantineFile('C:\WINDOWS\system32\drivers\ssmion.sys','');
QuarantineFile('Yad11.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\Winag17.sys','');
QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll','');
QuarantineFile('C:\WINDOWS\system32\sockots64.dll','');
QuarantineFile('C:\WINDOWS\system32\ftp34.dll','');
QuarantineFile('c:\windows\system32\drivers\services.exe','');
QuarantineFile('c:\documents and settings\Администратор\ie_updates3r.exe','');
DeleteService('Winag17');
DeleteService('Schedule');
DeleteService('Yad11 ');
DeleteService('Google Online Services');
DeleteService('autorun');
DeleteFile('c:\documents and settings\Администратор\ie_updates3r.exe');
DeleteFile('c:\windows\system32\drivers\services.exe');
DeleteFile('C:\WINDOWS\system32\ftp34.dll');
DeleteFile('C:\WINDOWS\system32\sockots64.dll');
DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
DeleteFile('C:\WINDOWS\system32\Drivers\Yad11.sys ');
DeleteFile('C:\WINDOWS\system32\Drivers\Winag17.sys');
DeleteFile('Yad11.sys');
DeleteFile('c:\huadio.tmp');
DeleteFile('C:\Documents and Settings\LocalService\svchost.exe');
DeleteFile('C:\Documents and Settings\Администратор\Главное меню\Программы\Автозагрузка\userinit.exe');
DeleteFile('C:\WINDOWS\helloserv.exe');
DeleteFile('C:\WINDOWS\system32\shell64.dll');
DeleteFile('C:\Documents and Settings\Администратор\Рабочий стол\inbt684.exe');
DeleteFile('WinCtrl32.dll');
DeleteFile('kdhly.exe');
DeleteFile('sockots64.dll');
DeleteFile('C:\WINDOWS\system32\kdhly.exe ');
DeleteFile('C:\WINDOWS\system32\nvidia32.exe');
DeleteFile('C:\WINDOWS\system32\windfire.exe');
DelBHO('{FFFFFFFF-BBBB-4146-86FD-A722E8AB3489}');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteSvc('Winag17 ');
BC_DeleteSvc('Schedule ');
BC_DeleteSvc('Yad11 ');
BC_DeleteSvc('Google Online Services ');
BC_DeleteSvc('autorun ');
BC_Activate;
ExecuteRepair(1 );
ExecuteRepair(6 );
ExecuteRepair(11 );
ExecuteRepair(17 );
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке:[url]http://virusinfo.info/upload_virus.php?tid=24677[/url]
Очистите временные папки,кеш браузера и повторите логи.
Все сделал
Правда после ребута я замучился запускать AVZ
Скачал рекомендованный в [URL="http://virusinfo.info/showthread.php?t=24676"]этой[/URL] теме
Файл сохранён как 080616_065359_virus_485654577fa64.zip
Размер файла 268950
MD5 e81737e065dd7adb4ec727fac0990e6d
выполните скрипт ....
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\nvidia32.exe','');
QuarantineFile('C:\Documents and Settings\Администратор\Главное меню\Программы\Автозагрузка\userinit.exe','');
QuarantineFile('C:\Documents and Settings\Администратор\Главное меню\Программы\Автозагрузка\officexp.exe','');
BC_DeleteSvc('Yad11');
BC_DeleteSvc('Winag17');
QuarantineFile('C:\WINDOWS\system32\drivers\ssmion.sys','');
QuarantineFile('C:\WINDOWS\System32\drivers\svchost.exe','');
QuarantineFile('C:\Documents and Settings\Администратор\ftp34.dll','');
QuarantineFile('c:\windows\system32\syskernel.exe','');
QuarantineFile('c:\windows\system32\drivers\svchost.exe','');
QuarantineFile('c:\documents and settings\Администратор\svchost.exe','');
DeleteFile('c:\documents and settings\Администратор\svchost.exe');
DeleteFile('c:\windows\system32\syskernel.exe');
DeleteFile('C:\Documents and Settings\Администратор\ftp34.dll');
DeleteFile('C:\WINDOWS\System32\drivers\svchost.exe');
DeleteFile('C:\WINDOWS\system32\drivers\ssmion.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winag17.sys');
DeleteFile('Yad11.sys');
DeleteFile('C:\Documents and Settings\Администратор\svchost.exe');
DeleteFile('C:\Documents and Settings\Администратор\Главное меню\Программы\Автозагрузка\officexp.exe');
DeleteFile('C:\WINDOWS\system32\drivers\services.exe');
DeleteFile('C:\WINDOWS\system32\syskernel.exe');
DeleteFile('C:\WINDOWS\system32\nvidia32.exe');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteRepair(1);
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите крантин согласно приложения 3 правил ...
повторите логи ...
Файл сохранён как 080616_080057_virus_48566409357be.zip
Размер файла 3946
MD5 bc18f92d795ce7b4e682ba426bb1d2e8
выполните скрипт ....
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelCLSID('66186F05-BBBB-4a39-864F-72D84615C679');
DeleteFile('c:\documents and settings\Администратор\Главное меню\Программы\Автозагрузка\userinit.exe');
DeleteFile('C:\WINDOWS\system32\ftp34.dll');
DeleteFile('C:\WINDOWS\system32\drivers\ssmion.sys');
DeleteFile('C:\Documents and Settings\Администратор\svchost.exe');
DeleteFile('C:\WINDOWS\system32\drivers\services.exe');
DeleteFile('sockots64.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
повторите логи начиная с пункта 10 правил ...
Сделал
пофиксите ....
[code]
O2 - BHO: (no name) - {FFFFFFFF-BBBB-4146-86FD-A722E8AB3489} - (no file)
O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\
O21 - SSODL: WebProxy - {66186F05-BBBB-4a39-864F-72D84615C679} - (no file)
[/code]
выполните скрипт ....
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('C:\WINDOWS\system32\drivers\services.exe');
DeleteFile('C:\WINDOWS\system32\drivers\ssmion.sys');
BC_DeleteSvc('aic32p');
BC_ImportDeletedList;
ExecuteRepair(1);
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
[/code]
повторите virusinfo_syscheck.zip
Сделал
в IceSword C:\WINDOWS\system32\drivers\ssmion.sys - - force delete
повторите virusinfo_syscheck.zip
Нету файлика такого
Поиск так-же не дал результата
пункт 2 правил выполнялся ?
Изночально нет.
выполняйте ...
В safe mode не грузиться
Уходит в ребут
А загрузчика с диска нет под рукой:(
выполните скрипт ....
[code]
begin
ExecuteRepair(10);
RebootWindows(true);
end.
[/code]
попробуйте загрузиться в safe mode
Все сделал.
Волосы на голове стояли дыбом>:(
Логи ниже
выполните скрипт ....
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('C:\WINDOWS\system32\drivers\ssmion.sys');
BC_DeleteSvc('aic32p');
BC_ImportDeletedList;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
[/code]
повторите virusinfo_syscheck.zip
Сделал
Скажите пожалуйста у меня все, или что-то надо делать?
[size="1"][color="#666686"][B][I]Добавлено через 4 часа 19 минут[/I][/B][/color][/size]
Есть тут кто живой?:(:(