Помогите ПЛЗ cp1041.nls

Printable View

13.05.2007, 21:58
phonext

Помогите ПЛЗ cp1041.nls

Я читал на вашем сайте тему с той же проблемой, но она в архиве! Помогите мне убить заразу на наутбуке, не хочу переустанавливать винду. Стоит NOD32 с последними базами! AVZ тоже есть! Подскажите что сделать! C:\cp1041.nls - он постоянно появляется и нод его обнаруживает!
13.05.2007, 22:08
Макcим

[URL="http://virusinfo.info/showthread.php?t=1235"]Прочитать и выполнить[/URL]
15.05.2007, 17:16
phonext

Сделал всё по инструкции описанной в правилах! Лог прикрепил. Жду помощи!
15.05.2007, 18:08
Kuzz

Выполните в АВЗ код:
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('\??\C:\WINDOWS\system32\windev-7e82-3f1a.sys','');
QuarantineFile('\??\C:\WINDOWS\system32\wincom32.sys','');
QuarantineFile('C:\WINDOWS\system32\vwjmmnapgdb.dll','');
QuarantineFile('c:\docume~1\phonex~1\locals~1\temp\winlogon.exe','');
QuarantineFile('C:\WINDOWS\system32\rpcc.dll','');
BC_DeleteFile('C:\WINDOWS\system32\rpcc.dll');
BC_DeleteFile('c:\docume~1\phonex~1\locals~1\temp\winlogon.exe');
BC_DeleteFile('C:\WINDOWS\system32\vwjmmnapgdb.dll');
BC_DeleteFile('\??\C:\WINDOWS\system32\wincom32.sys');
BC_DeleteFile('\??\C:\WINDOWS\system32\windev-7e82-3f1a.sys');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/CODE]

Пришлите карантин по правилам.

После выполнения скрипта у Вас может пропасть и-нет. Для восстановления скачайте [URL="http://www.softpedia.com/get/Tweak/Network-Tweak/WinSockFix.shtml"]утилиту для восстановления[/URL].

NDIS.sys у Вас пропатчен зловредом. Его нужно восстановить из дистрибутива.

После выполнения всего этого, сделайте новые логи
15.05.2007, 18:16
Numb

Вначале, [B]скачайте утилиту[/B] [url]http://www.tksinc.us/downloads/WinsockXPFix.exe[/url] - может пропасть интернет после выполнения скрипта. Далее, программа AVZ - файл - выполнить скрипт - выполните следующий скрипт: [code]SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('appmgmts.dll','');
QuarantineFile('C:\WINDOWS\system32\rpcc.dll','');
QuarantineFile('\??\C:\WINDOWS\system32\windev-7e82-3f1a.sys','');
QuarantineFile('\??\C:\WINDOWS\system32\wincom32.sys','');
QuarantineFile('C:\WINDOWS\System32\WLTRYSVC.EXE','');
QuarantineFile('C:\WINDOWS\system32\vwjmmnapgdb.dll','');
QuarantineFile('c:\windows\system32\wltrysvc.exe','');
QuarantineFile('c:\windows\system32\wltray.exe','');
QuarantineFile('c:\windows\system32\bcmwltry.exe','');
DeleteFile('c:\docume~1\phonex~1\locals~1\temp\winlogon.exe');
DeleteFile('C:\WINDOWS\system32\vwjmmnapgdb.dll');
DeleteFile('C:\WINDOWS\system32\rpcc.dll');
DeleteFile('C:\DOCUME~1\PHONEX~1\LOCALS~1\Temp\svchots.exe');
DeleteFile('C:\DOCUME~1\PHONEX~1\LOCALS~1\Temp\winlogon.exe');
BC_DeleteSvc('wincom32');
BC_DeleteSvc('windev-7e82-3f1a');
BC_ImportDeletedList;
BC_Activate;
ExecuteSysClean;
AutoFixSPI;
RebootWindows(true);
end.[/code] Система будет перезагружена. Если, после перезагрузки, пропадет интернет, попробуйте выполнить следующий скрипт: [code]begin
ExecuteRepair(14);
RebootWindows(true);
end.[/code] Если и он не поможет - следующий скрипт: [code]begin
ExecuteRepair(15);
RebootWindows(true);
end.[/code] Если интернет не восстановится, воспользуйтесь утилитой WinsockXPFix.exe.
В любом случае, после выполнения скриптов, загрузите содержимое карантина AVZ по ссылке [url]http://virusinfo.info/upload_virus.php?tid=9694[/url] и сделайте новые логи, начиная с п.10 [URL="http://virusinfo.info/showthread.php?t=1235"]правил[/URL].
15.05.2007, 18:41
phonext

Numb, сделал всё как Вы сказали!
15.05.2007, 19:02
Alex_Goodwin

Выполните скрипт:
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('NDIS.sys','');
QuarantineFile('C:\WINDOWS\system32\iconv.dll','');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.[/code]
Если что-то в карантин не добавиться, попробуйте добавить вручную по правилам. NDIS скорее всего патченый :(
Из присланного: windev-7e82-3f1a.sys и wincom32.sys вирус Packed.Win32.Tibs.w

По остальным жде вердикта ЛК.
15.05.2007, 19:13
phonext

Закачал архив с файлами из карантина. И вот новые логи.
15.05.2007, 19:42
Alex_Goodwin

Выполните скрипт:
[code]SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\vwjmmnapgdb.dll');
ExecuteSysClean;
BC_ImportDeletedList;
BC_Activate;
AutoFixSPI;
RebootWindows(true);
end.[/code]
Файл по ЛК Trojan.Win32.Agent.afg
16.05.2007, 11:13
phonext

Сделал!
16.05.2007, 11:33
Numb

Стало чище намного, но один подозреваемый в карантине не дошел. Программа AVZ - файл - выполнить скрипт - выполните следующий скрипт: [code]begin
ClearQuarantine;
QuarantineFile('C:\WINDOWS\system32\drivers\NDIS.sys','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.[/code]Система будет перезагружена. После перезагрузки, загрузите содержимое карантина по ссылке [url]http://virusinfo.info/upload_virus.php?tid=9694[/url] . В программе hijackthis [URL="http://www.virusinfo.info/showthread.php?t=4491"]пофиксите[/URL] строку [code]O20 - Winlogon Notify: rpcc - C:\WINDOWS\[/code]
16.05.2007, 12:04
phonext

Готово! Все таки NDIS.sys меня смущает! :(
16.05.2007, 14:52
Numb

Не пришел он опять :( Попробуйте вручную скопировать файл ndis.sys ( по умолчанию он находится по пути: %SystemRoot%\system32\drivers\), заархивировать в архив с паролем virus и загрузить по ссылке [url]http://virusinfo.info/upload_virus.php?tid=9694[/url] . ВНИМАНИЕ: ФАЙЛ ndis.sys УДАЛЯТЬ НЕЛЬЗЯ! Просто скопируйте его.
16.05.2007, 18:05
Bratez

Файл получился нулевого размера.
Выкладывать в тему нельзя - уберите!
По логам ndis.sys - это 100% зловред, кстати именно он создает C:\cp1041.nls. Надо заменить ndis.sys оригинальным файлом из дистрибутива. Сделать это можно с помощью консоли восстановления или загрузившись с какого-нибудь LiveCD. В крайнем случае подключить свой HDD к другому компьютеру. И cp1041.nls заодно удалить.
16.05.2007, 18:17
Numb

Как вариант, попробуйте заменить ndis.sys , как описано здесь: [url]http://www.virusinfo.info/showpost.php?p=96020&postcount=9[/url]
16.05.2007, 20:47
phonext

Запустил комп в безопастном режиме. Заменил ndis.sys на файл с другого компа. Прикрепил новые логи! Что дальше? ;)
16.05.2007, 23:01
Numb

Я больше ничего подозрительного не вижу. Дальше - смотреть, например, [URL="http://virusinfo.info/showthread.php?t=1431"]эту[/URL] тему, разбираться с тем, где нашли такой зоопарк, и принимать меры к тому, чтобы повторного заражения не произошло.
17.05.2007, 03:37
phonext

Вроди бы все нормально! Установил все последние заплатки на винду. Спасибо огромное за помощь!
22.02.2009, 01:45
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]4[/B][*]Обработано файлов: [B]25[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\vwjmmnapgdb.dll - [B]Trojan.Win32.Msnetax.n[/B] (DrWEB: Trojan.Vqten)[*] c:\\windows\\system32\\wincom32.sys - [B]Packed.Win32.Tibs.w[/B] (DrWEB: Trojan.Packed.115)[*] c:\\windows\\system32\\windev-7e82-3f1a.sys - [B]Packed.Win32.Tibs.w[/B] (DrWEB: Trojan.Packed.115)[/LIST][/LIST]