Проблема с windows xp

Printable View

18.03.2009, 17:05
Teravian

Проблема с windows xp

Здравствуйте, вчера столкнулся с ошибкой, что digeste.dll не является образом программы для windows nt. Сделал проверку Cureit, вылечил и удалил трояны, начал создавать файлы логов для диагностики, затем потребовалось перезагрузиться, но загрузка windows остановливалась на экране приветствия и дальше не шла, с 5 раза все-таки загрузка закончилась, доделал логи и прошу помощи, все ли в порядке с системой (уже подумал, что придется переустанавливать)
18.03.2009, 17:34
PavelA

Выполнить:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('D:\autorun.inf','');
QuarantineFile('C:\autorun.inf','');
DelBHO('{92780B25-18CC-41C8-B9BE-3C9C571A8263}');
DelBHO('{F171A450-7AF5-43E1-AFED-EDC826A1B0F5}');
QuarantineFile('C:\WINDOWS\system32\bgotrtu0.dll','');
QuarantineFile('C:\WINDOWS\system32\afmain1.dll','');
QuarantineFile('digeste.dll','');
QuarantineFile('C:\Documents and Settings\Администратор\Application Data\Facegame\Facegame.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\ati64si.sys','');
DeleteService('ati64si');
QuarantineFile('C:\WINDOWS\system32\drivers\acpi32.sys','');
DeleteService('acpi32');
DeleteFile('C:\WINDOWS\system32\drivers\acpi32.sys');
DeleteFile('C:\WINDOWS\system32\drivers\ati64si.sys');
DeleteFile('digeste.dll');
DeleteFile('C:\WINDOWS\system32\bgotrtu0.dll');
DeleteFile('C:\autorun.inf');
DeleteFile('D:\autorun.inf');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]

Сделать заново логи.
Загрузить карантин по Правилам через [url]http://virusinfo.info/upload_virus.php?tid=41970[/url]
18.03.2009, 22:30
Teravian

1. После выполнения скрипта компьютер завис (остался рабочий стол без ярлыков и панели задач), пришлось перезагрузиться reset-ом.
2. В процессах появился Администратор.exe (учетная запись, под которой я работаю, называется Администратор). Пробовал удалять его из автозагрузки, после ребута он снова появляется в процессах. Как его убить?
3. Правильно ли я загрузил карантин?
18.03.2009, 22:35
V_Bond

выполните скрипт
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\afmain1.dll','');
QuarantineFile('C:\Documents and Settings\Администратор\Application Data\Facegame\Facegame.exe','');
DeleteService('Atiupnphost');
QuarantineFile('C:\WINDOWS\system32\drivers\systemntmi.sys','');
QuarantineFile('c:\documents and settings\Администратор\Администратор.exe','');
DeleteFile('c:\documents and settings\Администратор\Администратор.exe');
DeleteFile('C:\WINDOWS\system32\drivers\systemntmi.sys');
DeleteFile('C:\WINDOWS\system32\wpv041237070981.cpx');
DeleteFile('C:\Documents and Settings\Администратор\Application Data\Facegame\Facegame.exe');
DeleteFile('C:\WINDOWS\system32\afmain1.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил
повторите логи
18.03.2009, 23:44
Teravian

Перезагрузка проходит успешно, Администратор.exe успешно удален. Субъективно все стало, как раньше. Остались ли какие-то проблемы?
19.03.2009, 00:23
Aleksandra

1. Отключите восстановление системы и антивирус.
2. [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ:[/URL]

[CODE]begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\autorun.inf','');
QuarantineFile('C:\i6g6x.cmd','');
DeleteFile('C:\autorun.inf');
DeleteFile('C:\i6g6x.cmd');
DeleteFile('D:\autorun.inf');
DeleteFile('D:\i6g6x.cmd');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится!
Пришлите карантин согласно [B]приложению 3[/B] [URL="http://virusinfo.info/showthread.php?t=1235"]правил.[/URL]
Загружать по ссылке: [url]http://virusinfo.info/upload_virus.php?tid=41970[/url]

3. Повторите логи.
20.03.2009, 00:17
Teravian

Сделал. Все ли в порядке?
20.03.2009, 08:05
Гриша

В логах чисто, установите SP3+all updates...
20.03.2009, 12:31
Teravian

Благодарю, но windows у меня нелицензионный, я ведь не смогу скачать обновления и сервиспак 3? И последнй вопрсо: восстановление системы оставить отключенным или включить снова?
20.03.2009, 12:37
PavelA

Можно включить. Кстати, еще можно папку AVZ удалить вместе с карантином, чтобы а/вирус на нее не ругался.
21.03.2009, 12:37
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]3[/B][*]Обработано файлов: [B]51[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\documents and settings\администратор\администратор.exe - [B]Trojan.Win32.Rabbit.m[/B] ( BitDefender: Trojan.Dropper.Kobcka.Gen.1 )[*] c:\i6g6x.cmd - [B]Trojan-GameThief.Win32.Magania.avwe[/B] ( DrWEB: Trojan.PWS.Wsgame.4983, BitDefender: Trojan.PWS.Onlinegames.KBPU )[*] c:\windows\system32\bgotrtu0.dll - [B]Trojan-GameThief.Win32.Magania.aubs[/B] ( BitDefender: Gen:Trojan.Heur.503EC18383 )[*] c:\windows\system32\drivers\ati64si.sys - [B]Rootkit.Win32.Agent.gvv[/B] ( DrWEB: Trojan.DownLoad.24465, BitDefender: Trojan.Inject.TZ )[*] c:\windows\system32\drivers\systemntmi.sys - [B]Rootkit.Win32.Agent.gvv[/B] ( DrWEB: Trojan.DownLoad.24465, BitDefender: Trojan.Inject.TZ )[*] d:\i6g6x.cmd - [B]Trojan-GameThief.Win32.Magania.avwe[/B] ( DrWEB: Trojan.PWS.Wsgame.4983, BitDefender: Trojan.PWS.Onlinegames.KBPU )[/LIST][/LIST]