-
Вложений: 2
WinNT32.dll
В файле [B][I]WinNT32.dll[/I][/B] обнаружен троян. Антивир каждый раз обнаруживает его и обезвреживает, но безрезультатно, после перезагрузки все повторяется. Также имеется подозрительный файл [B][I]Buffon.exe[/I][/B]
Выполняя пункт 8 Ваших требований комп выполняет стандартный скрипт - потом все обрывается, синий экран и перезагрузка, в логах [I][B]virusinfo_syscure.zip[/B][/I] не сохраняется, не знаю с чем это связано - пробовал несколько раз. 2 других лога прикрепляю.
Подскажите что делать...
-
Прочитайте [URL="http://virusinfo.info/showthread.php?t=17228"]тут[/URL] и удалите через опцию force delete
[CODE]C:\WINDOWS\SYSTEM32\WinCtrl32.dll
C:\WINDOWS\SYSTEM32\WLCtrl32.dll[/CODE]
1.Отключите ПК от сети.
2.Отключите Антивирус.
3.Отключите системное востановление.
[URL="http://virusinfo.info/showthread.php?t=4491"]4. Пофиксите[/URL]
[CODE]F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe,
O4 - HKLM\..\Run: [advap32] C:\WINDOWS\TEMP\7B48.tmp/r
O4 - HKLM\..\Run: [runwinlogon] C:\WINDOWS\winlogon.exe
O4 - HKCU\..\Run: [userinit] C:\WINDOWS\system32\ntos.exe
O4 - HKCU\..\Run: [autoload] C:\Documents and Settings\Ïåòð\cftmon.exe
O4 - HKCU\..\Run: [ntuser] C:\WINDOWS\system32\drivers\spools.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{066018EC-614F-4F77-8AD2-FB45F19EA7AB}: NameServer = 85.255.113.194,85.255.112.177
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.113.194 85.255.112.177
O17 - HKLM\System\CS1\Services\Tcpip\..\{066018EC-614F-4F77-8AD2-FB45F19EA7AB}: NameServer = 85.255.113.194,85.255.112.177
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.113.194 85.255.112.177
O17 - HKLM\System\CS2\Services\Tcpip\..\{066018EC-614F-4F77-8AD2-FB45F19EA7AB}: NameServer = 85.255.113.194,85.255.112.177
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.113.194 85.255.112.177
O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\SYSTEM32\WinCtrl32.dll
O20 - Winlogon Notify: WLCtrl32 - C:\WINDOWS\SYSTEM32\WLCtrl32.dll
O21 - SSODL: SysRun - {D7FFD784-5276-42D1-887B-00267870A4C7} - (no file)
[/CODE]
[URL="http://virusinfo.info/showthread.php?t=7239"]5. Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\buffoon.exe');
DeleteService('cgJ60');
DeleteService('Jnr50');
DeleteService('aeH36');
DeleteService('chK60');
DeleteService('Rvy04');
QuarantineFile('C:\WINDOWS\SYSTEM32\WLCtrl32.dll','');
QuarantineFile('C:\WINDOWS\SYSTEM32\WinCtrl32.dll','');
QuarantineFile('C:\Buffoon.exe','');
QuarantineFile('c:\buffoon.exe','');
QuarantineFile('C:\WINDOWS\system32\Drivers\Jnr50.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\cgJ60.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Jnr50.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\aeH36.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\chK60.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Rvy04.sys','');
QuarantineFile('C:\Documents and Settings\LocalService\Local Settings\Application Data\cftmon.exe','');
QuarantineFile('C:\Documents and Settings\Петр\cftmon.exe','');
QuarantineFile('C:\WINDOWS\TEMP\7B48.tmp/r','');
QuarantineFile('C:\WINDOWS\system32\drivers\spools.exe','');
QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
QuarantineFile('C:\WINDOWS\winlogon.exe','');
QuarantineFile('C:\WINDOWS\system32\kdgdi.exe','');
QuarantineFile('kdgdi.exe','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\PavProc.sys','');
QuarantineFile('Lch30.sys','');
QuarantineFile('C:\autorun.inf','');
QuarantineFile('D:\autorun.inf','');
DeleteFile('D:\autorun.inf');
DeleteFile('C:\WINDOWS\SYSTEM32\WLCtrl32.dll');
DeleteFile('Lch30.sys');
DeleteFile('C:\WINDOWS\system32\DRIVERS\PavProc.sys');
DeleteFile('kdgdi.exe');
DeleteFile('C:\WINDOWS\system32\kdgdi.exe');
DeleteFile('WinCtrl32.dll');
DeleteFile('C:\WINDOWS\winlogon.exe');
DeleteFile('C:\WINDOWS\system32\ntos.exe');
DeleteFile('C:\WINDOWS\system32\drivers\spools.exe');
DeleteFile('C:\WINDOWS\TEMP\7B48.tmp/r');
DeleteFile('C:\Documents and Settings\Петр\cftmon.exe');
DeleteFile('C:\Documents and Settings\LocalService\Local Settings\Application Data\cftmon.exe');
DeleteFile('C:\WINDOWS\System32\Drivers\Rvy04.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\chK60.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\aeH36.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Jnr50.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\cgJ60.sys');
DeleteFile('C:\WINDOWS\system32\Drivers\Jnr50.sys');
DeleteFile('C:\WINDOWS\SYSTEM32\WinCtrl32.dll');
DeleteFile('c:\buffoon.exe');
DeleteFile('C:\Buffoon.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/CODE]
После перезагрузки:
6. [url="http://virusinfo.info/showthread.php?t=10025"] Очистите [/url]темп-папки и кэш проводников.
7. Закачайте карантин [COLOR="Red"][B]по красной ссылке[/B][/COLOR] вверху темы
8. Повторите логи.
-
Вложений: 2
Карантин отправил, с логами та же беда. При выполнении 1го скрипта комп перезагружается и скрипт не сохраняет.
-
1.Отключите Антивирус и файрволл
2.Отключите системное востановление.
[URL="http://virusinfo.info/showthread.php?t=4491"]3. Пофиксите[/URL]
[CODE]
O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\SYSTEM32\WinCtrl32.dll
[/CODE]
[URL="http://virusinfo.info/showthread.php?t=7239"]4. Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelWinlogonNotifyByFileName('WinCtrl32.dll ')
DeleteService('Jnr50');
DeleteService('cgJ60');
QuarantineFile('C:\WINDOWS\system32\Drivers\cgJ60.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\Jnr50.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\Lch30.sys','');
QuarantineFile('Lch30.sys','');
QuarantineFile('WinCtrl32.dll','');
QuarantineFile('C:\autorun.inf','');
DeleteFile('C:\autorun.inf');
DeleteFile('WinCtrl32.dll');
DeleteFile('C:\WINDOWS\System32\Drivers\cgJ60.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Jnr50.sys');
DeleteFile('Lch30.sys');
DeleteFile('C:\WINDOWS\system32\Drivers\Lch30.sys');
DeleteFile('C:\WINDOWS\SYSTEM32\WinCtrl32.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/CODE]
После перезагрузки:
5. [url="http://virusinfo.info/showthread.php?t=10025"] Очистите [/url]темп-папки и кэш проводников.
6. Закачайте карантин [COLOR="Red"][B]по красной ссылке[/B][/COLOR] вверху темы
7. Повторите логи начиная от стандартного скрипта 2
-
Строчку O20 - Winlogon Notify - пофиксил.
При выполнении скрипта происходит тоже самое, что при выполнении 1го лога идет процесс, потом синий экран и перезагрузка. Пробовал несколько раз. В карантин, который я вам отправил, вроде бы ничего не добавилось. Кстати в скрипте в 4й строчке пропущена ';' и выдается при выполнении ошибка.
-
Вложений: 2
-
в IceSword удалите ....
C:\WINDOWS\system32\Drivers\cgJ60.sys
C:\WINDOWS\system32\Drivers\Jnr50.sys
выполните скрипт ...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\autorun.inf','');
BC_DeleteSvc('Jnr50');
BC_DeleteSvc('cgJ60');
QuarantineFile('Lch30.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\Jnr50.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\cgJ60.sys','');
DeleteFile('C:\WINDOWS\system32\Drivers\cgJ60.sys');
DeleteFile('C:\WINDOWS\system32\Drivers\Jnr50.sys');
DeleteFile('Lch30.sys');
DeleteFile('WinCtrl32.dll');
DeleteFile('C:\autorun.inf');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил ...
повторите логи ...
-
Вложений: 2
Карантин отправил (в т.ч. и вчерашние файлы).Вот логи, их опять только 2.
[B]Скрипт лечения/карантина и сбора информации для раздела "Помогите!"[/B] никак не хочет сохранять в логи.
В карантин почему то только 1 файл добавился...
Возможно, я что то не так делаю? Может антивир не отключать?
-
Удалить в "мече":
Lch30.sys
C:\WINDOWS\SYSTEM32\WinCtrl32.dll
Сразу же профиксить:
O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\SYSTEM32\WinCtrl32.dll
Затем скрипт:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('WinCtrl32.dll','');
QuarantineFile('Lch30.sys','');
DeleteService('Jnr50');
DeleteService('cgJ60');
DeleteFile('C:\WINDOWS\System32\Drivers\cgJ60.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Jnr50.sys');
DeleteFile('WinCtrl32.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
Далее снова сделать логи.
Надо еще разобраться с тем какой антивирус у Вас живет: Панда или Нод. Тоже самое с фаерваллами. Их похоже тоже два стоит.
-
Вложений: 3
Все выполнил, как написано. Выслал карантин за сегодня (вчерашний и позавчерашний не отправлял). Наконец то выполнился скрипт лечения. Прикрепляю логи. Посмотрите что там...
Еще в логах появился файл [URL="http://virusinfo.info/attachment.php?attachmentid=56749&stc=1&d=1214329344"][COLOR=black]virusinfo cure.zip[/COLOR][/URL] не знаю зачем он нужен.
Из антивирей стоит только панда со всеми ее приложениями.
-
virusinfo cure.zip - присылается по запросу(карантин)
-
Посмотрите, пожалуйста, в карантине лог virusinfo_cure.
Комп по прежнему тормозит: explorer виснит, особенно когда CD загружаю, не грузится Firebird Guardian (его вообще почему то в службах не видно).
Подскажите как последние загруженные логи....
-
Повторю совет:
Надо еще разобраться с тем какой антивирус у Вас живет: Панда или Нод.
Какой из них с лицензией, того и нужно оставить.
Это должно решить проблему с тормозами.
-
Итог лечения
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]4[/B][*]Обработано файлов: [B]21[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\autorun.inf - [B]Worm.Win32.Delf.ge[/B] (DrWEB: Win32.HLLW.Autoruner.1797)[*] c:\\buffoon.exe - [B]Worm.Win32.Delf.hr[/B] (DrWEB: Win32.HLLW.Buffoon)[*] c:\\windows\\system32\\drivers\\aeh36.sys - [B]Trojan-Dropper.Win32.Agent.stj[/B][*] c:\\windows\\system32\\drivers\\chk60.sys - [B]Trojan-Dropper.Win32.Agent.stj[/B][*] c:\\windows\\system32\\kdgdi.exe - [B]Trojan.Win32.Monder.gen[/B] (DrWEB: Trojan.Virtumod.based.22)[*] d:\\autorun.inf - [B]Worm.Win32.Delf.ge[/B] (DrWEB: Win32.HLLW.Autoruner.1797)[/LIST][/LIST]
Page generated in 0.00600 seconds with 10 queries