Не стартовала система из за вирусов

Printable View

03.05.2007, 10:26
billyg

Не стартовала система из за вирусов

Не запускалась винда (SP SP1) в нормальном режиме, запустилась после скрипта AVZ сбора/лечения...
03.05.2007, 10:44
drongo

Такую систему бесполезно лечить, так как через некоторое время подключения к и интернету будет полная коллекция зверей:)Нужно обновлять по полной программе.

[B]сделайте следующее :[/B]

[url=http://virusinfo.info/showthread.php?t=7239]AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.[/url]
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\System32\x2f4fr.dll','');
QuarantineFile('C:\WINDOWS\System32\winwgzje.exe','');
QuarantineFile('C:\WINDOWS\System32\a3dxx.dll','');
QuarantineFile('C:\DOCUME~1\07C4~1\LOCALS~1\Temp\winlogon.exe','');
QuarantineFile('C:\DOCUME~1\07C4~1\LOCALS~1\Temp\svchots.exe','');
QuarantineFile('C:\DOCUME~1\07C4~1\LOCALS~1\Temp\146.exe','');
QuarantineFile('Tpkd.sys','');
QuarantineFile('C:\WINDOWS\System32\gczz.dll','');
QuarantineFile('C:\Documents and Settings\All Users\Документы\Settings\winsys2f.dll','');
BC_ImportALL;
BC_LogFile(GetAVZDirectory + 'boot_copy.log');
BC_Activate;
RebootWindows(true);
end.
[/code]
Прислать [B]весь[/B] карантин согласно [b]приложения 3 [url=http://virusinfo.info/showthread.php?t=1235]правил [/url][/b].
Загружать по ссылке: [url]http://virusinfo.info/upload_virus.php?tid=9442[/url]........

P.s. вы антивирусом сканировали ? что-то не видно :)
03.05.2007, 10:48
Макcим

Настройки прокси-сервера Вы сами прописывали?
03.05.2007, 11:58
billyg

Выполнил скрипт, в процессе перезагрузки система повисла, ребунтнул резетом, при старте написала ошибку (приложение что-то там наделало и было заветрешено - отправить отчёт или нет kernel32.exe). Накатил сп2, почитстил автозагрузку, сообщение пропало...Сканировал до этого МНОГО раз, что толку терять ещё 2-3 часа на бесполезный скан ? Сейчас проверки и скрипт повотрю, вышлю логи и карантин. Прокси моя.
03.05.2007, 12:25
billyg

Закачал карантин, высылаю логи ..злобная длл-ка не удалилась =(
03.05.2007, 12:51
drongo

насчёт загруженного , хороший набор по касперскому :

Заражен: троянская программа Trojan-Proxy.Win32.Xorpix.ba =bcqr00019.dat 14.5 КБ
Заражен: троянская программа Trojan-Proxy.Win32.Xorpix.ba =bcqr00018.dat 14.5 КБ
Заражен: троянская программа Backdoor.Win32.Agent.adr =bcqr00017.dat 166 КБ
Заражен: троянская программа Backdoor.Win32.Agent.adr =bcqr00016.dat 166 КБ
Заражен: троянская программа Trojan-Proxy.Win32.Xorpix.m =bcqr00006.dat 9.8 КБ
Заражен: троянская программа Trojan-Proxy.Win32.Xorpix.m =bcqr00005.dat 9.8 КБ
Заражен: троянская программа Backdoor.Win32.SdBot.bce =bcqr00004.dat 89.4 КБ
Заражен: троянская программа Backdoor.Win32.SdBot.bce =bcqr00003.dat 89.4 КБ
Заражен: троянская программа Trojan-Proxy.Win32.Xorpix.ba =avz00010.dta 14.5 КБ
Заражен: троянская программа Backdoor.Win32.Agent.adr =avz00009.dta 166 КБ
Заражен: троянская программа Backdoor.Win32.SdBot.bce =avz00007.dta 89.4 КБ
Заражен: вирус Email-Worm.Win32.Zhelatin.dp =avz00006.dta 9.8 КБ
Заражен: вирус Email-Worm.Win32.Zhelatin.dp =avz00005.dta 9.8 КБ
Заражен: троянская программа Trojan-Proxy.Win32.Xorpix.m =avz00004.dta 9.8 КБ
Заражен: вирус Email-Worm.Win32.Zhelatin.dp =avz00003.dta 9.8 КБ
Заражен: троянская программа Trojan.Win32.Qhost.it =avz00002.dta 208 КБ
Заражен: троянская программа Trojan.Win32.Qhost.it = avz00001.dta 208 КБ

AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine();
QuarantineFile('C:\WINDOWS\System32\x2f4fr.dll','');
QuarantineFile('C:\WINDOWS\System32\windev-1c6b-233a.sys','');
QuarantineFile('C:\WINDOWS\System32\wincom32.sys','');
QuarantineFile('C:\Documents and Settings\All Users\Документы\Settings\winsys2f.dll','');
BC_DeleteFile('C:\Documents and Settings\All Users\Документы\Settings\winsys2f.dll');
BC_DeleteFile('C:\WINDOWS\System32\gczz.dll');
BC_DeleteFile('C:\WINDOWS\System32\x2f4fr.dll');
BC_DeleteFile('C:\Documents and Settings\All Users\Документы\Settings\winsys2f.dll');
BC_ImportQuarantineList;
BC_LogFile(GetAVZDirectory + 'boot_clr.log');
BC_Activate;
ExecuteSysClean;
ClearHostsFile;
RebootWindows(false);
end.
[/code]
Прислать [B]новый [/B] карантин согласно приложения 3 правил .
Загружать по ссылке: [url]http://virusinfo.info/upload_virus.php?tid=9442[/url]........
03.05.2007, 13:08
Bratez

Да, большая коллекция! :) Вот еще в догонку:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\System32\svshost.dll','');
DeleteFile('C:\WINDOWS\system32\a3dxx.dll');
DeleteFile('C:\WINDOWS\System32\winwgzje.exe');
DeleteFile('C:\xx1232255.exe');
DeleteFile('C:\WINDOWS\system32\kernels32.exe');
DeleteFile('C:\Documents and Settings\Алексей\Local Settings\Temporary Internet Files\Content.IE5\OJEL8JCR\win32[1].exe');
DeleteFile('C:\Documents and Settings\Алексей\Local Settings\Temporary Internet Files\Content.IE5\OJEL8JCR\60787[1].exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Выполните, а потом уже грузите свежий карантин :)

P.S. [B]А восстановление системы не забыли отключить?[/B]
03.05.2007, 13:23
billyg

Всё выполнил, залил свежий карантин, восстановление отключено давно уже =)
03.05.2007, 13:23
Макcим

Повторите логи :)
03.05.2007, 13:43
Bratez

Выполните скрипт:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\System32\windev-1c6b-233a.sys');
DeleteFile('C:\WINDOWS\System32\wincom32.sys');
DeleteFile('C:\WINDOWS\System32\svshost.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
а потом уже и логи :)
03.05.2007, 14:17
billyg

стандартный №3 уже выполнялся (он 1.5-2 часа выполняется), после выполнил
[QUOTE]Выполните скрипт:

Код:
beginSearchRootkit(true, true);SetAVZGuardStatus(True); DeleteFile('C:\WINDOWS\System32\windev-1c6b-233a.sys'); DeleteFile('C:\WINDOWS\System32\wincom32.sys'); DeleteFile('C:\WINDOWS\System32\svshost.dll');BC_ImportDeletedList;ExecuteSysClean;BC_Activate;RebootWindows(true);end.
[/QUOTE]
потом сделал Стандартный №2 логи скидываю, ещё 1 архив с заражённым залил куда обычно
03.05.2007, 14:27
Bratez

[QUOTE]архив с заражённым залил [/QUOTE]
Больше ж ничего не карантинили...
Лог HijackThis еще прикрепите пожалуйста.
03.05.2007, 14:35
drongo

То ли логи старые загрузили , то ли не хотят они удаляться . Давайте вот этот скрипт :
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('\??\C:\WINDOWS\System32\wincom32.sys');
DeleteFile('\??\C:\WINDOWS\System32\windev-1c6b-233a.sys');
DeleteFile('C:\Documents and Settings\All Users\Документы\Settings\winsys2f.dll');
DeleteFile('C:\WINDOWS\System32\gczz.dll');
DeleteFile('C:\WINDOWS\System32\x2f4fr.dll');
BC_DeleteFile('C:\WINDOWS\System32\x2f4fr.dll');
BC_DeleteFile('C:\Documents and Settings\All Users\Документы\Settings\winsys2f.dll');
BC_DeleteFile('C:\WINDOWS\System32\gczz.dll');
BC_DeleteFile('\??\C:\WINDOWS\System32\wincom32.sys');
BC_DeleteFile('\??\C:\WINDOWS\System32\windev-1c6b-233a.sys');
BC_Activate;
ExecuteSysClean;
RebootWindows(false);
end.
[/code]
03.05.2007, 14:39
Макcим

Можно попробовать удалить из Safe Mode
03.05.2007, 15:10
billyg

Выполнил вышеупомянутый скрипт в безопасном. Скидываю новые логи.
03.05.2007, 15:17
Bratez

Теперь все чисто. Только пофиксите в HijackThis:
[code]
O2 - BHO: C:\WINDOWS\System32\x2f4fr.dll - {8D5849C4-93F3-429D-FF34-260A2068897C} - C:\WINDOWS\System32\x2f4fr.dll (file missing)
O20 - Winlogon Notify: A3dxq - C:\WINDOWS\
O20 - Winlogon Notify: reset5 - C:\WINDOWS\SYSTEM32\reset5.dll
O20 - Winlogon Notify: winsys2freg - C:\WINDOWS\
O23 - Service: Reset 5 - Unknown owner - C:\WINDOWS\system32\srvany.exe (file missing)
[/code]