Не загружается в безопасном режиме

Вложений: 3

Компьютер перезагружается при попытке загрузиться в безопасном режиме. в браузере недоступно virusinfo.info

Скачайте [URL="http://virusinfo.info/showthread.php?t=17109"]IceSword [/URL], поищите и скопируйте файлы:
[CODE]C:\WINDOWS\system32\WlCtrl32.dll
C:\WINDOWS\system32\WlCtrl32.dl_
C:\WINDOWS\system32\WlCtrl32.bak
C:\WINDOWS\system32\drivers\Kqv27.sys
[/CODE]
Скопированные с помощью IceSword файлы сохраните в карантине ..avz\quarantine\<<YYYY-MM-DD>>
Потом удалите их с помощью [URL="http://virusinfo.info/showthread.php?t=17228"]force delete[/URL]
Если Вы какие-то файлы не обнаружите - переходите к следующему шагу.

Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
StopService('WZCSVCdmserver');
StopService('wuauservwinmgmt');
StopService('wscsvcCiSvc');
StopService('WmiTlntSvr');
StopService('WmiApSrvSharedAccessDcomLaunch');
StopService('WmiApSrvSharedAccess');
StopService('WmdmPmSNNetlogon');
StopService('Winwd28');
StopService('Winvc17');
StopService('Winta85');
StopService('Winqv52');
StopService('Winou30');
StopService('Winou27');
StopService('Winjp52');
StopService('Wingm52');
StopService('Wingm41');
StopService('Windj41');
StopService('Wek41');
StopService('W32TimehelpsvcUPS');
StopService('W32Timehelpsvc');
StopService('Vel42');
StopService('upnphostWebClient');
StopService('upnphostDhcp');
StopService('upnphostBITS');
StopService('TrkWksxmlprov');
StopService('TrkWksNVSvcNetDDEERSvcupnphost');
StopService('TrkWksNVSvcNetDDE');
StopService('Themesdmserver');
StopService('TermServiceMSDTC');
StopService('tcpsr');
StopService('SysmonLogWmdmPmSNNetlogon');
StopService('SSDPSRVSSDPSRV');
StopService('srserviceW32TimehelpsvcUPS');
StopService('srserviceAlerterTlntSvr');
StopService('SharedAccessDcomLaunch');
StopService('SENSwinmgmt');
StopService('ScheduleWmiBrowserWmiApSrvSharedAccessDcomLaunch');
StopService('ScheduleWmi');
StopService('Ryf06');
StopService('RpcLocatorCryptSvc');
StopService('RasManDcomLaunch');
StopService('r_serverScheduleWmilanmanworkstationSSDPSRV');
StopService('r_serverScheduleWmi');
StopService('Qwd85');
StopService('ProtectedStorageSharedAccess');
StopService('ProtectedStorageNVSvcNetDDEdsdm');
StopService('NVSvcRpcLocator');
StopService('NVSvcNetDDEdsdmseclogon');
StopService('NVSvcNetDDEdsdmPolicyAgent');
StopService('NVSvcNetDDEdsdm');
StopService('NVSvcNetDDE');
StopService('Nub17');
StopService('NtLmSspSENSwinmgmt');
StopService('Netmanwuauserv');
StopService('NetlogonwscsvcCiSvc');
StopService('Msy74');
StopService('MSIServerW32Time');
StopService('MSDTCEventlog');
StopService('mnmsrvcERSvcupnphost');
StopService('Messengersrservice');
StopService('lrX85');
StopService('lanmanworkstationWmiTlntSvrEventSystemCiSvc');
StopService('lanmanworkstationWmiTlntSvr');
StopService('lanmanworkstationSSDPSRV');
StopService('lanmanworkstationRDSessMgr');
StopService('lanmanworkstationDhcpCiSvc');
StopService('lanmanserverHidServRSVP');
StopService('lanmanserverHidServ');
StopService('Kqw41');
StopService('Kqv27');
StopService('ImapiServicewuauservwinmgmt');
StopService('FastUserSwitchingCompatibilityFastUserSwitchingCompatibility');
StopService('EventSystemCiSvc');
StopService('EventlogTrkWks');
StopService('EventlogClipSrvdmadminThemesdmserver');
StopService('ERSvcupnphostupnphost');
StopService('ERSvcupnphost');
StopService('ERSvcNVSvcNetDDEdsdm');
StopService('DnscacheNetDDEdsdm');
StopService('dmadminNetDDE');
StopService('djP52');
StopService('Dhcpwinmgmtwuauserv');
StopService('Dhcpwinmgmt');
StopService('DhcpCiSvc');
StopService('ClipSrvRasAutoHidServ');
StopService('ClipSrvRasAuto');
StopService('ClipSrvdmadminThemesdmserver');
StopService('ClipSrvdmadmin');
StopService('CiSvcWmdmPmSN');
StopService('BrowserWmiApSrvSharedAccessDcomLaunchEventSystemCiSvc');
StopService('BrowserWmiApSrvSharedAccessDcomLaunch');
StopService('AudioSrvVSS');
StopService('AlerterTlntSvr');
StopService('Ahn63');
QuarantineFile('WLCtrl32.dll','');
QuarantineFile('C:\WINDOWS\system32\WlCtrl32.dll','');
QuarantineFile('C:\WINDOWS\system32\win2pdfm.dll','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winwd28.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winvc17.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winta85.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winqv52.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winou30.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winou27.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winjp52.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Wingm52.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Wingm41.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Windj41.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Wek41.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Vel42.sys','');
QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Ryf06.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Nub17.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Msy74.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\Kqv27.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\djP52.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Ahn63.sys','');
DeleteService('WZCSVCdmserver');
DeleteService('wuauservwinmgmt');
DeleteService('wscsvcCiSvc');
DeleteService('WmiTlntSvr');
DeleteService('WmiApSrvSharedAccessDcomLaunch');
DeleteService('WmiApSrvSharedAccess');
DeleteService('WmdmPmSNNetlogon');
DeleteService('Winwd28');
DeleteService('Winvc17');
DeleteService('Winta85');
DeleteService('Winqv52');
DeleteService('Winou30');
DeleteService('Winou27');
DeleteService('Winjp52');
DeleteService('Wingm52');
DeleteService('Wingm41');
DeleteService('Windj41');
DeleteService('Wek41');
DeleteService('W32TimehelpsvcUPS');
DeleteService('W32Timehelpsvc');
DeleteService('Vel42');
DeleteService('upnphostWebClient');
DeleteService('upnphostDhcp');
DeleteService('upnphostBITS');
DeleteService('TrkWksxmlprov');
DeleteService('TrkWksNVSvcNetDDEERSvcupnphost');
DeleteService('TrkWksNVSvcNetDDE');
DeleteService('Themesdmserver');
DeleteService('TermServiceMSDTC');
DeleteService('tcpsr');
DeleteService('SysmonLogWmdmPmSNNetlogon');
DeleteService('SSDPSRVSSDPSRV');
DeleteService('srserviceW32TimehelpsvcUPS');
DeleteService('srserviceAlerterTlntSvr');
DeleteService('SharedAccessDcomLaunch');
DeleteService('SENSwinmgmt');
DeleteService('ScheduleWmiBrowserWmiApSrvSharedAccessDcomLaunch');
DeleteService('ScheduleWmi');
DeleteService('Ryf06');
DeleteService('RpcLocatorCryptSvc');
DeleteService('RasManDcomLaunch');
DeleteService('r_serverScheduleWmilanmanworkstationSSDPSRV');
DeleteService('r_serverScheduleWmi');
DeleteService('Qwd85');
DeleteService('ProtectedStorageSharedAccess');
DeleteService('ProtectedStorageNVSvcNetDDEdsdm');
DeleteService('NVSvcRpcLocator');
DeleteService('NVSvcNetDDEdsdmseclogon');
DeleteService('NVSvcNetDDEdsdmPolicyAgent');
DeleteService('NVSvcNetDDEdsdm');
DeleteService('NVSvcNetDDE');
DeleteService('Nub17');
DeleteService('NtLmSspSENSwinmgmt');
DeleteService('Netmanwuauserv');
DeleteService('NetlogonwscsvcCiSvc');
DeleteService('Msy74');
DeleteService('MSIServerW32Time');
DeleteService('MSDTCEventlog');
DeleteService('mnmsrvcERSvcupnphost');
DeleteService('Messengersrservice');
DeleteService('lrX85');
DeleteService('lanmanworkstationWmiTlntSvrEventSystemCiSvc');
DeleteService('lanmanworkstationWmiTlntSvr');
DeleteService('lanmanworkstationSSDPSRV');
DeleteService('lanmanworkstationRDSessMgr');
DeleteService('lanmanworkstationDhcpCiSvc');
DeleteService('lanmanserverHidServRSVP');
DeleteService('lanmanserverHidServ');
DeleteService('Kqw41');
DeleteService('Kqv27');
DeleteService('ImapiServicewuauservwinmgmt');
DeleteService('FastUserSwitchingCompatibilityFastUserSwitchingCompatibility');
DeleteService('EventSystemCiSvc');
DeleteService('EventlogTrkWks');
DeleteService('EventlogClipSrvdmadminThemesdmserver');
DeleteService('ERSvcupnphostupnphost');
DeleteService('ERSvcupnphost');
DeleteService('ERSvcNVSvcNetDDEdsdm');
DeleteService('DnscacheNetDDEdsdm');
DeleteService('dmadminNetDDE');
DeleteService('djP52');
DeleteService('Dhcpwinmgmtwuauserv');
DeleteService('Dhcpwinmgmt');
DeleteService('DhcpCiSvc');
DeleteService('ClipSrvRasAutoHidServ');
DeleteService('ClipSrvRasAuto');
DeleteService('ClipSrvdmadminThemesdmserver');
DeleteService('ClipSrvdmadmin');
DeleteService('CiSvcWmdmPmSN');
DeleteService('BrowserWmiApSrvSharedAccessDcomLaunchEventSystemCiSvc');
DeleteService('BrowserWmiApSrvSharedAccessDcomLaunch');
DeleteService('AudioSrvVSS');
DeleteService('AlerterTlntSvr');
DeleteService('Ahn63');
DeleteFile('WLCtrl32.dll');
DeleteFile('C:\WINDOWS\system32\WlCtrl32.dll');
DeleteFile('C:\WINDOWS\System32\Drivers\Winwd28.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winvc17.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winta85.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winqv52.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winou30.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winou27.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winjp52.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Wingm52.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Wingm41.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Windj41.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Wek41.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Vel42.sys');
DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Ryf06.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Qwd85.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Nub17.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Msy74.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\lrX85.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Kqw41.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Kqv27.sys');
DeleteFile('C:\WINDOWS\system32\drivers\Kqv27.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\djP52.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Ahn63.sys');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('WZCSVCdmserver');
BC_DeleteSvc('wuauservwinmgmt');
BC_DeleteSvc('wscsvcCiSvc');
BC_DeleteSvc('WmiTlntSvr');
BC_DeleteSvc('WmiApSrvSharedAccessDcomLaunch');
BC_DeleteSvc('WmiApSrvSharedAccess');
BC_DeleteSvc('WmdmPmSNNetlogon');
BC_DeleteSvc('Winwd28');
BC_DeleteSvc('Winvc17');
BC_DeleteSvc('Winta85');
BC_DeleteSvc('Winqv52');
BC_DeleteSvc('Winou30');
BC_DeleteSvc('Winou27');
BC_DeleteSvc('Winjp52');
BC_DeleteSvc('Wingm52');
BC_DeleteSvc('Wingm41');
BC_DeleteSvc('Windj41');
BC_DeleteSvc('Wek41');
BC_DeleteSvc('W32TimehelpsvcUPS');
BC_DeleteSvc('W32Timehelpsvc');
BC_DeleteSvc('Vel42');
BC_DeleteSvc('upnphostWebClient');
BC_DeleteSvc('upnphostDhcp');
BC_DeleteSvc('upnphostBITS');
BC_DeleteSvc('TrkWksxmlprov');
BC_DeleteSvc('TrkWksNVSvcNetDDEERSvcupnphost');
BC_DeleteSvc('TrkWksNVSvcNetDDE');
BC_DeleteSvc('Themesdmserver');
BC_DeleteSvc('TermServiceMSDTC');
BC_DeleteSvc('tcpsr');
BC_DeleteSvc('SysmonLogWmdmPmSNNetlogon');
BC_DeleteSvc('SSDPSRVSSDPSRV');
BC_DeleteSvc('srserviceW32TimehelpsvcUPS');
BC_DeleteSvc('srserviceAlerterTlntSvr');
BC_DeleteSvc('SharedAccessDcomLaunch');
BC_DeleteSvc('SENSwinmgmt');
BC_DeleteSvc('ScheduleWmiBrowserWmiApSrvSharedAccessDcomLaunch');
BC_DeleteSvc('ScheduleWmi');
BC_DeleteSvc('Ryf06');
BC_DeleteSvc('RpcLocatorCryptSvc');
BC_DeleteSvc('RasManDcomLaunch');
BC_DeleteSvc('r_serverScheduleWmilanmanworkstationSSDPSRV');
BC_DeleteSvc('r_serverScheduleWmi');
BC_DeleteSvc('Qwd85');
BC_DeleteSvc('ProtectedStorageSharedAccess');
BC_DeleteSvc('ProtectedStorageNVSvcNetDDEdsdm');
BC_DeleteSvc('NVSvcRpcLocator');
BC_DeleteSvc('NVSvcNetDDEdsdmseclogon');
BC_DeleteSvc('NVSvcNetDDEdsdmPolicyAgent');
BC_DeleteSvc('NVSvcNetDDEdsdm');
BC_DeleteSvc('NVSvcNetDDE');
BC_DeleteSvc('Nub17');
BC_DeleteSvc('NtLmSspSENSwinmgmt');
BC_DeleteSvc('Netmanwuauserv');
BC_DeleteSvc('NetlogonwscsvcCiSvc');
BC_DeleteSvc('Msy74');
BC_DeleteSvc('MSIServerW32Time');
BC_DeleteSvc('MSDTCEventlog');
BC_DeleteSvc('mnmsrvcERSvcupnphost');
BC_DeleteSvc('Messengersrservice');
BC_DeleteSvc('lrX85');
BC_DeleteSvc('lanmanworkstationWmiTlntSvrEventSystemCiSvc');
BC_DeleteSvc('lanmanworkstationWmiTlntSvr');
BC_DeleteSvc('lanmanworkstationSSDPSRV');
BC_DeleteSvc('lanmanworkstationRDSessMgr');
BC_DeleteSvc('lanmanworkstationDhcpCiSvc');
BC_DeleteSvc('lanmanserverHidServRSVP');
BC_DeleteSvc('lanmanserverHidServ');
BC_DeleteSvc('Kqw41');
BC_DeleteSvc('Kqv27');
BC_DeleteSvc('ImapiServicewuauservwinmgmt');
BC_DeleteSvc('FastUserSwitchingCompatibilityFastUserSwitchingCompatibility');
BC_DeleteSvc('EventSystemCiSvc');
BC_DeleteSvc('EventlogTrkWks');
BC_DeleteSvc('EventlogClipSrvdmadminThemesdmserver');
BC_DeleteSvc('ERSvcupnphostupnphost');
BC_DeleteSvc('ERSvcupnphost');
BC_DeleteSvc('ERSvcNVSvcNetDDEdsdm');
BC_DeleteSvc('DnscacheNetDDEdsdm');
BC_DeleteSvc('dmadminNetDDE');
BC_DeleteSvc('djP52');
BC_DeleteSvc('Dhcpwinmgmtwuauserv');
BC_DeleteSvc('Dhcpwinmgmt');
BC_DeleteSvc('DhcpCiSvc');
BC_DeleteSvc('ClipSrvRasAutoHidServ');
BC_DeleteSvc('ClipSrvRasAuto');
BC_DeleteSvc('ClipSrvdmadminThemesdmserver');
BC_DeleteSvc('ClipSrvdmadmin');
BC_DeleteSvc('CiSvcWmdmPmSN');
BC_DeleteSvc('BrowserWmiApSrvSharedAccessDcomLaunchEventSystemCiSvc');
BC_DeleteSvc('BrowserWmiApSrvSharedAccessDcomLaunch');
BC_DeleteSvc('AudioSrvVSS');
BC_DeleteSvc('AlerterTlntSvr');
BC_DeleteSvc('Ahn63');
BC_Activate;
RebootWindows(true);
end.
[/CODE]

После перезагрузки:
- [url="http://virusinfo.info/showthread.php?t=10025"] Очистите [/url]темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным [B]только Internet Explorer[/B]. Если он не запущен - запустите!!!
- Сделайте повторные логи
[CODE]virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log [/CODE]
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.

Вложений: 3

Нашел и удалил один файл: C:\WINDOWS\system32\WlCtrl32.dll. По запарке забыл его скопировать. Это очень критично? Далее выполнил все пункты

-[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/URL]
[CODE]O20 - Winlogon Notify: WLCtrl32 - C:\WINDOWS\
[/CODE]
Сейчас грузится в безопасном режиме?
Обновите Адоби Ридер и установите Internet Explorer 7 - даже если Вы им не пользуетесь.

Пофиксил. Нет, не грузится в безопасном режиме.

[URL="http://virusinfo.info/showthread.php?t=7239"]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/URL]

[CODE]begin
ExecuteRepair(10);
RebootWindows(true);
end.[/CODE]

Попробуйте загрузиться в Safe-Mode...

Нет, не грузится в Safe-Mode. Может причина не в malware?

Скачайте [URL="http://www.gmer.net/gmer.zip"]Gmer.[/URL] Запустите программу. После автоматической экспресс-проверки, отметьте галочкой все жесткие диски и нажмите на кнопку "Scan". После окончания проверки сохраните его лог (нажмите на кнопку Save) под каким хотите именем, например Gmer.log и прикрепите лог сюда.

Никаких особых требований к условиям запуска\работы программы? Ничего не надо выгружать? может пользователь работать во время выполнения Gmer?
Не можете подсказать приблизительное среднее время выполнения?

Так же лишнее выгрузить, желательно не работать...

Окно программы появляется на краткий момент, после чего пропадает, больше никаких результатов. Видимо выгружается.

Такой лог сделайте [url]http://virusinfo.info/showthread.php?t=40120[/url]

Вложений: 1

Сделал.

Так проверьтесь

[url]http://www.kaspersky.ru/support/wks6mp3/error?qid=208636215[/url]

действительно кидо. пока борюсь с ним. не знал что отсутствие безопасного режима - это кидо. пока что эта утилита не справляется сним - после перезагрузки опять обнаруживается. вроде все заплатки установил. завтра буду продолжать.

Все заплатки стоят, но kidokiller v3.3.3 не может его убить. нет еще вариантов?

Закройте все программы.
Запустите AVZ.
Выполните скрипт через меню Файл:
[code]
begin
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\tkypvun.dll','');
DeleteFile('C:\WINDOWS\system32\tkypvun.dll');
ExecuteRepair(10);
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
Компьютер перезагрузится.
Пришлите файлы из карантина AVZ (см. приложение 3 Правил) используя ссылку [color=red][b][u]Прислать запрошенный карантин[/u][/b][/color] верху этой темы.
Обновите базы AVZ.
Сделайте новый лог из пункта 1 Диагностики и приложите к этой теме.

Установите Adobe Acrobat Reader 9.1 или удалите старый.

Вложений: 1

Все сделал.
Файл сохранён как 090320_122234_2009-03-20_49c3605a78095.zip
Размер файла 78786
MD5 8f28d8b3d42f2c2d1fd62fe4712252d8

Пароль нужен крепкий на учетку поставить.

C:\WINDOWS\system32\tkypvun.dll = Trojan-Downloader.Win32.Kido.a
В логе чисто.
В Безопасном режиме загружается?
ПРоблемы есть?

Файл virusinfo_cure.zip из темы уберите.