Printable View
Компьютер работает медленно, выскакивает ошибка rundll32.exe , нет возможности зайти в свойства "компьютера" и рабочего стола, сканеры докторвеб и касперский (setup_9.0.0.722_26.08.2010_22-15) вирус удаляют но при перезагрузке он появляется снова.
Отключить восстановление системы не могу (не знаю как добраться кроме как через свойства).
Карантин отправил
Результат загрузки
Файл сохранён как 100827_131136_virusinfo_cure_4c77814877593.zip
Размер файла 166586
MD5 bd5e448b3a9841910fbf021a02104d4e
Простите, забыл что отправлять надо при запросе.
Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- [B][COLOR="Red"]Обязательно!!! Системное восстановление!!![/COLOR][/B][URL="http://avptool.ru/ru/AVPTool_helpdesk_sysrestore.htm"] как- посмотреть можно тут[/URL]
- Выгрузите антивирус и/или Файрвол
- Закройте все программы
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\windows\system32\wuaucldt.exe','');
QuarantineFile('c:\documents and settings\user\wuaucldt.exe','');
QuarantineFile('C:\WINDOWS\system32\userinit.exe','');
QuarantineFile('C:\Documents and Settings\User\arwsssnhи.exe','');
QuarantineFile('C:\Documents and Settings\User\arwsssnhШ.exe','');
QuarantineFile('C:\Documents and Settings\User\arwsssnh№.exe','');
QuarantineFile('C:\Documents and Settings\User\arwsssnhЇ.exe','');
QuarantineFile('C:\Documents and Settings\User\arwsssnhЌ.exe','');
QuarantineFile('C:\Documents and Settings\User\arwsssnhЃ.exe','');
QuarantineFile('C:\Documents and Settings\User\arwsssnh}.exe','');
QuarantineFile('C:\Documents and Settings\User\arwsssnho.exe','');
QuarantineFile('C:\Documents and Settings\User\arwsssnhb.exe','');
QuarantineFile('C:\DOCUME~1\User\LOCALS~1\Temp\pj9q4.exe','');
QuarantineFile('C:\DOCUME~1\User\LOCALS~1\Temp\5mtrzw.exe','');
QuarantineFile('C:\WINDOWS\system32\Drivers\NDIS.sys','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\cdrom.sys','');
QuarantineFile('c:\windows\fonts\services.exe','');
TerminateProcessByName('c:\windows\fonts\services.exe');
QuarantineFile('c:\docume~1\user\locals~1\temp\pj9q4.exe','');
TerminateProcessByName('c:\docume~1\user\locals~1\temp\pj9q4.exe');
QuarantineFile('c:\docume~1\user\locals~1\temp\5mtrzw.exe','');
TerminateProcessByName('c:\docume~1\user\locals~1\temp\5mtrzw.exe');
QuarantineFile('C:\WINDOWS\system32\wuaucldt.exe','');
QuarantineFile('C:\Documents and Settings\User\wuaucldt.exe','');
QuarantineFile('C:\WINDOWS\Fonts\services.exe','');
DeleteFile('C:\WINDOWS\Fonts\services.exe');
DeleteFile('C:\Documents and Settings\User\wuaucldt.exe');
DeleteFile('C:\WINDOWS\system32\wuaucldt.exe');
DeleteFile('c:\docume~1\user\locals~1\temp\5mtrzw.exe');
DeleteFile('c:\docume~1\user\locals~1\temp\pj9q4.exe');
DeleteFile('c:\windows\fonts\services.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','lta9a');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','jt2qcp');
DeleteFile('C:\DOCUME~1\User\LOCALS~1\Temp\5mtrzw.exe');
DeleteFile('C:\DOCUME~1\User\LOCALS~1\Temp\pj9q4.exe');
DeleteFile('C:\Documents and Settings\User\arwsssnhb.exe');
RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','arwsssnhb');
RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','arwsssnhb');
RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','arwsssnhj');
RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','arwsssnhj');
RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','arwsssnho');
DeleteFile('C:\Documents and Settings\User\arwsssnho.exe');
DeleteFile('C:\Documents and Settings\User\arwsssnh}.exe');
DeleteFile('C:\Documents and Settings\User\arwsssnhЃ.exe');
DeleteFile('C:\Documents and Settings\User\arwsssnhЌ.exe');
DeleteFile('C:\Documents and Settings\User\arwsssnhЇ.exe');
DeleteFile('C:\Documents and Settings\User\arwsssnh№.exe');
DeleteFile('C:\Documents and Settings\User\arwsssnhШ.exe');
DeleteFile('C:\Documents and Settings\User\arwsssnhи.exe');
RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','arwsssnhи');
RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','arwsssnhи');
RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','arwsssnhШ');
RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','arwsssnhШ');
RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','arwsssnh№');
RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','arwsssnh№');
RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','arwsssnhЇ');
RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','arwsssnhЇ');
RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','arwsssnhЌ');
RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','arwsssnhЌ');
RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','arwsssnhЃ');
RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','arwsssnhЃ');
RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','arwsssnh}');
RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','arwsssnho');
DeleteFile('c:\documents and settings\user\wuaucldt.exe');
RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','wuaucldt');
RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','wuaucldt');
DeleteFile('c:\windows\system32\wuaucldt.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','wuaucldt');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
BC_Activate;
RebootWindows(true);
end.[/CODE]
После перезагрузки:
- выполните такой скрипт
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
- Файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ загрузите по ссылке [B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B] вверху темы
- Замените файл C:\WINDOWS\system32\Drivers\NDIS.sys и C:\WINDOWS\system32\DRIVERS\cdrom.sys на чистый из [URL="http://virusinfo.info/showthread.php?t=51654"]дистрибутива[/URL].
- скачайте новую версию [URL="http://z-oleg.com/avz4.zip"]AVZ - 4.35[/URL]
- [B][COLOR="Red"]обновите базы AVZ[/COLOR][/B]
- Сделайте повторные логи по [URL="http://virusinfo.info/pravila_old.html"]правилам[/URL] п.1-3 раздела Диагностика.([COLOR="Blue"]virusinfo_syscure.zip;virusinfo_syscheck.zip; hijackthis.log[/COLOR])
Появилась новая ошибка при загрузке "component mswinsck.ocx or one of its dependencies not correctly registered: a file is missing or invalid"
Новые логи и карантин отправляю.
Файл сохранён как 100827_153913_quarantine_4c77a3e1b12ba.zip
Размер файла 979367
MD5 556d345595f3f0f3277479234e6c3187
Пролечитесь от файлового вируса Virut [url]http://virusinfo.info/showthread.php?t=15927[/url] (вариант с LiveCD предпочтительнее)
После лечения - еще раз скачайте AVZ и сделайте новые логи
Сори что долго не отвечал.
Все вылечено. Тему можно закрывать.
Большое спасибо за помощь.
И все-таки сделайте
[QUOTE='thyrex;696938']После лечения - еще раз скачайте AVZ и сделайте новые логи[/QUOTE]
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]57[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\documents and settings\\user\\arwsssnhи.exe - [B]Backdoor.Win32.Protector.dv[/B] ( DrWEB: Trojan.Proxy.14858, BitDefender: Trojan.Generic.4651945, NOD32: Win32/Wigon.KQ trojan, AVAST4: Win32:MalOb-IJ [Cryp] )[*] c:\\documents and settings\\user\\arwsssnhш.exe - [B]Backdoor.Win32.Protector.dv[/B] ( DrWEB: Trojan.Proxy.14858, BitDefender: Trojan.Generic.4651945, NOD32: Win32/Wigon.KQ trojan, AVAST4: Win32:MalOb-IJ [Cryp] )[*] c:\\documents and settings\\user\\wuaucldt.exe - [B]Virus.Win32.Virut.ce[/B] ( DrWEB: Win32.Virut.56, BitDefender: Gen:Variant.Graftor.32312, NOD32: Win32/Virut.NBP virus, AVAST4: Win32:Small-NPB [Drp] )[*] c:\\docume~1\\user\\locals~1\\temp\\pj9q4.exe - [B]Virus.Win32.Virut.ce[/B] ( DrWEB: Win32.Virut.56, BitDefender: Win32.Virtob.Gen.12, NOD32: Win32/Virut.NBP virus, AVAST4: Win32:Vitro )[*] c:\\docume~1\\user\\locals~1\\temp\\5mtrzw.exe - [B]Virus.Win32.Virut.ce[/B] ( DrWEB: Win32.Virut.56, BitDefender: Win32.Virtob.Gen.12, NOD32: Win32/Virut.NBP virus, AVAST4: Win32:Vitro )[*] c:\\windows\\fonts\\services.exe - [B]Virus.Win32.Virut.ce[/B] ( DrWEB: Win32.Virut.56, BitDefender: Win32.Virtob.Gen.12, NOD32: Win32/Virut.NBP virus, AVAST4: Win32:Vitro )[*] c:\\windows\\system32\\drivers\\cdrom.sys - [B]Virus.Win32.Protector.h[/B] ( DrWEB: BackDoor.Bulknet.508, BitDefender: Rootkit.Kobcka.Patched.Gen, NOD32: Win32/Protector.N virus, AVAST4: Win32:Cutwail-AP [Rtk] )[*] c:\\windows\\system32\\drivers\\ndis.sys - [B]Virus.Win32.Protector.f[/B] ( DrWEB: BackDoor.Bulknet.417, BitDefender: Rootkit.Kobcka.Patched.Gen, NOD32: Win32/Protector.K virus, AVAST4: Win32:Cutwail-AP [Rtk] )[*] c:\\windows\\system32\\wuaucldt.exe - [B]Virus.Win32.Virut.ce[/B] ( DrWEB: Win32.Virut.56, BitDefender: Gen:Variant.Graftor.32312, NOD32: Win32/Virut.NBP virus, AVAST4: Win32:Small-NPB [Drp] )[/LIST][/LIST]