не запускается оболочка windows

Printable View

20.05.2009, 17:52
alexyeyev

не запускается оболочка windows

не получается выложить логи :(
[B]virusinfo_syscure.zip[/B]:
Вы уже вложили этот файл в теме: [URL="http://virusinfo.info/showthread.php?t=45983"]не ставиться sp3 на winxp sp2[/URL]
20.05.2009, 18:32
Alex Plutoff

- выполнить в AVZ скрипт[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('WgaLogon.dll','');
QuarantineFile('C:\WINDOWS\system32\msvcrt57.dll','');
QuarantineFile('C:\WINDOWS\system32\031.tmp','');
QuarantineFile('C:\WINDOWS\system32\02F.tmp','');
QuarantineFile('C:\WINDOWS\system32\029.tmp','');
QuarantineFile('C:\WINDOWS\system32\drivers\fips32cup.sys','');
QuarantineFile('C:\WINDOWS\system32\wpv291237470773.exe','');
QuarantineFile('C:\Program Files\Microsoft Common\svchost.exe','');
BC_DeleteFile('C:\Program Files\Microsoft Common\svchost.exe');
BC_DeleteFile('C:\WINDOWS\system32\drivers\fips32cup.sys');
BC_DeleteFile('C:\WINDOWS\system32\031.tmp');
BC_DeleteFile('C:\WINDOWS\system32\02F.tmp');
BC_DeleteFile('C:\WINDOWS\system32\029.tmp');
BC_DeleteFile('C:\WINDOWS\system32\msvcrt57.dll');
BC_ImportALL;
ExecuteSysClean;
ExecuteRepair(9);
BC_Activate;
RebootWindows(true);
end.[/CODE]...после перезагрузки, воспользуйтесь формой [url]http://virusinfo.info/upload_virus.php?tid=46165[/url] и пришлите карантин согласно приложению 3 правил
20.05.2009, 18:58
alexyeyev

оболочка стала запускаться, но

если пробовать запустить программу combofix
она закрывается с ошибкой
you may be infected with a file patching virus (Virut)
карантин выложил
20.05.2009, 19:33
Alex Plutoff

- нужен virusinfo_syscure.zip ...если не получается в теме приатачить, выложите где-нибудь на стороннем хостинге и дайте ссылку
21.05.2009, 11:02
alexyeyev

Сегодня syscure добавился
21.05.2009, 17:45
Alex Plutoff

- выполнить в AVZ скрипт[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('WgaLogon.dll','');
QuarantineFile('C:\WINDOWS\system32\msvcrt57.dll','');
QuarantineFile('C:\WINDOWS\system32\031.tmp','');
QuarantineFile('C:\WINDOWS\system32\02F.tmp','');
QuarantineFile('C:\WINDOWS\system32\029.tmp','');
QuarantineFile('C:\WINDOWS\system32\drivers\fips32cup.sys','');
QuarantineFile('C:\WINDOWS\system32\wpv291237470773.exe','');
QuarantineFile('C:\Program Files\Microsoft Common\svchost.exe','');
QuarantineFile('C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\KMZSS98V\pin[1].exe','');
QuarantineFile('C:\Program Files\Automatic Update\Components\Pro Printer Main\5.1P200.7_CO\rework_au.exe','');
QuarantineFile('C:\Program Files\Amadeus\Pro Printer\rework_au.exe','');
QuarantineFile('C:\Documents and Settings\admin\Local Settings\Temp\RarSFX0\setup.exe','');
QuarantineFile('C:\WINDOWS\system32\msvcrt57.dll','');
QuarantineFile('C:\WINDOWS\system32\029.tmp','');
QuarantineFile('C:\WINDOWS\system32\drivers\ws2_32sik.sys','');
QuarantineFile('C:\WINDOWS\system32\030.tmp','');
QuarantineFile('C:\WINDOWS\system32\024.tmp','');
QuarantineFile('C:\WINDOWS\system32\033.tmp','');
QuarantineFile('C:\WINDOWS\system32\025.tmp','');
QuarantineFile('C:\WINDOWS\system32\028.tmp','');
QuarantineFile('C:\WINDOWS\system32\vsdatant.sys','');
QuarantineFile('C:\WINDOWS\system32\034.tmp','');
BC_DeleteFile('C:\WINDOWS\system32\034.tmp');
BC_DeleteFile('C:\WINDOWS\system32\028.tmp');
BC_DeleteFile('C:\WINDOWS\system32\025.tmp');
BC_DeleteFile('C:\WINDOWS\system32\033.tmp');
BC_DeleteFile('C:\WINDOWS\system32\024.tmp');
BC_DeleteFile('C:\WINDOWS\system32\030.tmp');
BC_DeleteFile('C:\WINDOWS\system32\drivers\ws2_32sik.sys');
BC_DeleteFile('C:\WINDOWS\system32\029.tmp');
BC_DeleteFile('C:\WINDOWS\system32\msvcrt57.dll');
BC_DeleteFile('C:\Documents and Settings\admin\Local Settings\Temp\RarSFX0\setup.exe');
BC_DeleteFile('C:\Program Files\Amadeus\Pro Printer\rework_au.exe');
BC_DeleteFile('C:\Program Files\Automatic Update\Components\Pro Printer Main\5.1P200.7_CO\rework_au.exe');
BC_DeleteFile('C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\KMZSS98V\pin[1].exe');
BC_DeleteFile('C:\Program Files\Microsoft Common\svchost.exe');
BC_DeleteFile('C:\WINDOWS\system32\drivers\fips32cup.sys');
BC_DeleteFile('C:\WINDOWS\system32\031.tmp');
BC_DeleteFile('C:\WINDOWS\system32\02F.tmp');
BC_DeleteFile('C:\WINDOWS\system32\029.tmp');
BC_DeleteFile('C:\WINDOWS\system32\msvcrt57.dll');
BC_ImportALL;
ExecuteSysClean;
ExecuteRepair(9);
BC_Activate;
RebootWindows(true);
end.[/CODE]...после перезагрузки, воспользуйтесь формой [url]http://virusinfo.info/upload_virus.php?tid=46165[/url] пришлите карантин согласно приложению 3 правил
21.05.2009, 18:38
alexyeyev

карантин выложил.
combofix запустился!
21.05.2009, 20:00
Alex Plutoff

- сделайте свежие логи
21.05.2009, 22:41
alexyeyev

выложил
22.05.2009, 22:41
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]54[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\windows\system32\config\systemprofile\local settings\temporary internet files\content.ie5\kmzss98v\pin[1].exe - [B]Trojan.Win32.Buzus.bajo[/B] ( DrWEB: Trojan.PWS.LDPinch.4308 )[/LIST][/LIST]