Помогите почистить

Printable View

28.08.2007, 14:22
pribor

Вложений: 3

Помогите почистить

Помогите пожалуйста почистить комп.
28.08.2007, 14:49
PavelA

AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.

[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('mswshl.dll','');
QuarantineFile('C:\WINDOWS\system32\sрoоlsv.exe','');
QuarantineFile('C:\WINDOWS\system32\userinit.exe','');
QuarantineFile('C:\WINDOWS\SS2007.scr','');
QuarantineFile('c:\windows\system32\taskmgr.exe','');
RebootWindows(true);
end.[/CODE]

После перезагрузки.
Прислать карантин согласно приложения 3 правил .
28.08.2007, 15:09
pribor

Файл сохранён как
070828_060745_virus_46d402019c7b2.zipРазмер файла2101217MD5f729310d240344f0d549bcb36958c1a0

Файл отправил.

P.S. CryptoPro - это нужная вещь
28.08.2007, 16:27
V_Bond

C:\WINDOWS\system32\sрoоlsv.exe DrWeb [B]modification of Trojan.Packed.162[/B]
c:\windows\system32\taskmgr.exe DrWeb [B]modification of Trojan.Packed.162 [/B]
taskmgr.exe - необходимо заменить на чистый из дистрибутива ...
выполните скрипт ....
[code]
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\sрoоlsv.exe');
QuarantineFile('C:\WINDOWS\system32\userinit.exe','');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил ....
29.08.2007, 10:02
pribor

taskmgr вроде заменил (в безопасном режиме скопировал с дистрибутива taskmgr.ex_ и переименовал его (предварительно переименовав старый).

Скрипт выполнил, карантин отправил.
29.08.2007, 10:14
V_Bond

userinit.exe - судя по вирус тотал чистый ...
повторите логи ...
29.08.2007, 10:19
AndreyKa

[url=http://virusinfo.info/showpost.php?p=64376&postcount=1]Пофиксте[/url] в HijackThis следующую строку:
O20 - Winlogon Notify: reset6 - mswshl.dll (file missing)

Перезагрузите компьютер.
Сделайте новые логи.

PS. Ответил синхронно с [B]V_Bond [/B]:)
29.08.2007, 11:21
pribor

Вложений: 3

Пофиксил.
Логи высылаю.

P.S. Забыл указать сразу: после каждой перезагрузки открывается окно "Мои документы" и, когда закрываешь, висит около минуты в панели внизу, потом закрывается. Кроме того куда-то исчез значок отображения и переключения языка ввода на панели (при этом клавиатурное переключение работает).
29.08.2007, 11:36
PavelA

Профиксить:
[CODE]F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,userinit.exe[/CODE]
29.08.2007, 16:24
pribor

Вложений: 3

Профиксил.
Окошко всплывать перестало, но языковая панель похоже умерла совсем (может можно доставить ее с дистрибутива?)
29.08.2007, 16:29
V_Bond

в логах ничего вредного не замечено ....
пуск - [I]control.exe[/I] - язык и региональные настройки - языки - подробнее - языковая панель - отоброжать
29.08.2007, 16:30
PavelA

Профикси вот эту строчку.
O4 - HKCU\..\Run: [NeroFilterCheck] sрoоlsv.exe

C:\WINDOWS\system32\sрoоlsv.exe - вот этот файлик тоже надо заменить.

Про языковую панель сейчас поищу.
29.08.2007, 16:40
pribor

To V_Bond
Это недоступно, кнопка "Яз.панель" серая неактивная
29.08.2007, 16:45
Bratez

[QUOTE]кнопка "Яз.панель" серая неактивная[/QUOTE]
Вкладка "Дополнительно", снимите галку "Выключить доп. текстовые службы". Кнопка оживет.
30.08.2007, 09:44
pribor

To Bratez
Не оживает, после перезагрузки (и в защищенном режиме тоже) галка возвращается. :'-(
30.08.2007, 09:56
PavelA

CTFMON.EXE - вот это должно висеть в процессах.
Посмотри [url]http://support.microsoft.com/kb/282599/ru[/url]

Можно попробовать запустить его в ручную.

На всякий случай, надо поместить C:\WINDOWS\system32\ctfmon.exe в карантин и прислать для проверки.
30.08.2007, 14:45
pribor

to PavelA.
[COLOR=blue]C:\WINDOWS\system32\sрoоlsv.exe - вот этот файлик тоже надо заменить.[/COLOR]
После замены этого файла комп перестает видеть принтер (и сетевые принтеры), переустановка принтера не помогает, пришлось вернуть файл назад.

[COLOR=blue]Можно попробовать запустить его (CTFMON) в ручную.
[/COLOR][COLOR=black] Запускается, собщений о ошибке нет и реакции никакой, ничего не меняется.[/COLOR]

[COLOR=black]Файл сейчас пришлю.[/COLOR]

Кроме того в процессе лечения компа вдруг система при запуске стала обнаруживать новое устройство и запускать мастер установки. При отключении его вроде все работает. Заподозрил, что это связано с моими мучениями с AVZ из-за информации (единственной) об устройстве - код экземпляра устройства ROOT\LEGASY_[COLOR=red]AVZ[/COLOR]RK\0000.
Так же почему-то в проводнике заголовок папки (и все ее содержимое) c:\windows\system32\dllcach стало синим вместо черного. Что-бы это значило?
30.08.2007, 14:54
Bratez

Есть предложение: вставить установочный диск вашей версии Windows, открыть окошко командной строки и набрать [B]sfc /scannow[/B]. А еще лучше выполнить установку поверх вашей в режиме обновления/восстановления. Тогда уж точно все пропатченные, залеченные и испорченные файлы системы будут заменены оригиналами.

[QUOTE]Так же почему-то в проводнике заголовок папки (и все ее содержимое) c:\windows\system32\dllcach стало синим вместо черного. Что-бы это значило?[/QUOTE]
Папка dllcache при использовании NTFS всегда по умолчанию сжимаемая, и если в настройках проводника указано "выделять цветом сжатые папки и файлы" - она будет синяя вместе с содержимым.
30.08.2007, 15:02
pribor

Установленное матобеспечение не слетит?
P.S. Кстати и taskmenedger перестал запускаться. "Процессор NTVDM обнаружил недопустимую инструкцию"
30.08.2007, 15:08
Bratez

[QUOTE]Установленное матобеспечение не слетит?[/QUOTE]
Нет, не слетит.
30.08.2007, 15:10
PavelA

[QUOTE=pribor;130344] Заподозрил, что это связано с моими мучениями с AVZ из-за информации (единственной) об устройстве - код экземпляра устройства ROOT\LEGASY_[COLOR=red]AVZ[/COLOR]RK\0000.
[/QUOTE]
Это драйвер от AVZ. Нужно убрать его, зайдя в AVZ -- AVZPM -- удалить драйвер и перезагрузиться.

Если не поможет, то в AVZ -- Файл -- Станд. скрипты -- п.6 отметить -- выполнить.
30.08.2007, 15:34
Numb

[quote=pribor;130041]taskmgr вроде заменил (в безопасном режиме скопировал с дистрибутива taskmgr.ex_ и переименовал его (предварительно переименовав старый)[/quote]
Неправильно заменили: taskmgr.ex_ переименуйте, например, в taskmgr.rar и распакуйте winrar-ом. А вот уже извлеченным из архива taskmgr.exe замените существующий.
30.08.2007, 15:35
Rene-gad

[quote=pribor;130344]
После замены этого файла комп перестает видеть принтер (и сетевые принтеры), переустановка принтера не помогает, пришлось вернуть файл назад.[/quote]
как и предполагал - Вы не на тот файл напали ;). Для того, чтобы тот найти, скопируйте его имя из сообщения Павла в окошко для поиска.
[FONT=Arial Black][COLOR="Red"]sрoоlsv.exe[/COLOR]-зловред[FONT=Verdana] и [/FONT]spoolsv.exe - виндосовский файл[FONT=Verdana]не одно и то же. Смените кодировку браузера на латинскую и увидите это сами.
[/FONT][/FONT]
31.08.2007, 14:37
pribor

Компьютер будет доступен только в понедельник.
Все советы опробую.
Всем спасибо, не отвлекайтесь пока на меня.
Виктор
22.02.2009, 02:15
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]3[/B][*]Обработано файлов: [B]7[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\ctfmon.exe - [B]Trojan.Win32.Delf.aen[/B] (DrWEB: Trojan.Packed.162)[*] c:\\windows\\system32\\sрoоlsv.exe - [B]Trojan.Win32.Delf.aen[/B] (DrWEB: Trojan.Packed.162)[*] c:\\windows\\system32\\taskmgr.exe - [B]Trojan.Win32.Delf.aen[/B] (DrWEB: Trojan.Packed.162)[/LIST][/LIST]