Вирус-это точно :(

Printable View

07.02.2008, 20:32
Попов Алексей А

Вложений: 2

Вирус-это точно :(

На компьютере появился вирус: постоянные ошибки о работе системы и ее неадекватная работа. Помогите пожалуйста!!! Заранее спасибо!
07.02.2008, 20:51
akok

Ой как все запущено...пока только карантин потом решим с какого конца начинать разматывать:(
1.[url=http://virusinfo.info/showthread.php?t=7239]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/url]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\System32\DRIVERS\Mac606.sys','');
QuarantineFile('C:\posE2.tmp','');
QuarantineFile('C:\Program Files\MindSoft\MindSoft Utilities XP 8\virtdess.exe','');
QuarantineFile('Прямое чтение C:\Documents and Settings\Администратор\Мои документы\pos7D9.tmp','');
QuarantineFile('C:\Program Files\ConnectionServices\ConnectionServices.dll','');
QuarantineFile('C:\Program Files\BitAccelerator\BitAccelerator.dll','');
QuarantineFile('C:\WINDOWS\System32\windows','');
QuarantineFile('c:\windows\system32\xojdq.exe','');
QuarantineFile('C:\WINDOWS\system\wcntfysvc.exe','');
QuarantineFile('C:\WINDOWS\System32\xojdq.exe','');
QuarantineFile('C:\WINDOWS\system32\utqgukka.dll','');
QuarantineFile('C:\WINDOWS\system32\svshost.exe','');
QuarantineFile('C:\WINDOWS\System32\onfdqsep.exe','');
QuarantineFile('C:\WINDOWS\System32\mllmj.dll','');
QuarantineFile('C:\WINDOWS\System32\awtqnkh.dll','');
QuarantineFile('c:\windows\system32\onfdqsep.exe','');
DeleteFile('c:\windows\system32\svshost.exe');
DeleteFile('C:\WINDOWS\System32\xojdq.exe');
DeleteFile('C:\Program Files\BitAccelerator\BitAccelerator.dll');
DeleteFile('C:\Program Files\ConnectionServices\ConnectionServices.dll');
DelBHO('{92860A02-4D69-48c1-82D7-EF6B2C609502}');
DelBHO('{6D7B211A-88EA-490c-BAB9-3600D8D7C503}');
BC_LogFile(GetAVZDirectory + 'boot_clr.log');
BC_ImportALL;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно [b]приложения 3 [url=http://virusinfo.info/showthread.php?t=1235]правил [/url][/b].
Загружать по ссылке: [url]http://virusinfo.info/upload_virus.php?tid=17710[/url]

Приложите в сообщение после выполнения скрипта [b]boot_clr.log[/b]

[size="1"][color="#666686"][B][I]Добавлено через 5 минут[/I][/B][/color][/size]

1.[url=http://virusinfo.info/showthread.php?t=7239]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/url]
[CODE]begin
BC_Activate;
SetServiceStart('h2c76v', 4);
SetServiceStart('ko6t86v0z4z2', 4);
BC_DeleteSvc('h2c76v');
BC_DeleteSvc('ko6t86v0z4z2');
BC_ImportDeletedList;
ExecuteSysClean;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.

[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]

Повторите логи, начнем ритуальные пляски с бубном:)
08.02.2008, 05:07
Попов Алексей А

Все сделал. Файл карантина загрузил. Все равно при загрузке появляется ошибка. Что делать дальше?
08.02.2008, 08:19
Макcим

Где логи? Покажите скриншот ошибок.
08.02.2008, 09:19
Попов Алексей А

а файлы карантина загрузились? Логи снова в авз делать? Да, и как скриншот сделать?
08.02.2008, 09:21
akok

Делать все по очереди...
Ошибки и будут я 10-30% из вирусов снес..
08.02.2008, 10:39
Попов Алексей А

ага, понял. Спасибо. Я только вечером смогу залить логи. :(
08.02.2008, 11:10
akok

C:\WINDOWS\System32\windows - [b]Trojan.Win32.Zapchast.dt[/b]
c:\windows\system32\xojdq.exe -[b] Backdoor.Win32.Rbot.eem[/b]
C:\WINDOWS\system\wcntfysvc.exe - [b]Backdoor.Win32.SdBot.cuw[/b]
C:\WINDOWS\system32\utqgukka.dll - [b]AdWare.Win32.Virtumonde.gen[/b]
C:\WINDOWS\system32\svshost.exe - [b]Backdoor.Win32.SdBot.cmz[/b]
C:\WINDOWS\System32\onfdqsep.exe - [b]Trojan-Proxy.Win32.Agent.mf[/b]
C:\WINDOWS\System32\mllmj.dll - [b]AdWare.Win32.Virtumonde.gen[/b]
C:\WINDOWS\System32\awtqnkh.dll - [b]Trojan-Downloader.Win32.Small.huj[/b]

[url=http://virusinfo.info/showthread.php?t=7239]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/url]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('C:\WINDOWS\System32\windows');
DeleteFile('c:\windows\system32\xojdq.exe');
DeleteFile('C:\WINDOWS\system\wcntfysvc.exe');
DeleteFile('C:\WINDOWS\system32\utqgukka.dll');
DeleteFile('C:\WINDOWS\System32\onfdqsep.exe');
DeleteFile('C:\WINDOWS\System32\mllmj.dll');
DeleteFile('C:\WINDOWS\System32\awtqnkh.dll');
BC_LogFile(GetAVZDirectory + 'boot_clr.log');
BC_ImportDeletedList;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.

Вот теперь и повторите логи
08.02.2008, 15:07
Попов Алексей А

Логи

Вот логи. Что дальше???
08.02.2008, 16:55
akok

Скрипт в посте №8 выполняли до создания логов?

[size="1"][color="#666686"][B][I]Добавлено через 1 час 41 минуту[/I][/B][/color][/size]

1.[url=http://virusinfo.info/showthread.php?t=7239]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/url]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
SetServiceStart('Mac606', 4);
StopService('Mac606');
QuarantineFile('C:\WINDOWS\System32\utqgukka.dll','');
QuarantineFile('C:\WINDOWS\System32\mllmj.dll','');
QuarantineFile('C:\WINDOWS\System32\awtqnkh.dll','');
QuarantineFile('C:\WINDOWS\System32\hrjqotgw.dll','');
QuarantineFile('C:\WINDOWS\System32\update.exe','');
QuarantineFile('C:\windows\system\nadlocop.exe','');
QuarantineFile('utqgukka.dll','');
QuarantineFile('awtqnkh.dll','');
QuarantineFile('C:\WINDOWS\System32\Drivers\SYMREDRV.SYS','');
QuarantineFile('C:\WINDOWS\System32\DRIVERS\Mac606.sys','');
QuarantineFile('C:\WINDOWS\BS_DEF.sys','');
QuarantineFile('C:\WINDOWS\System32\DRIVERS\HSF_CNXT.sys','');
QuarantineFile('C:\WINDOWS\System32\DRIVERS\cledx.sys','');
QuarantineFile('c:\windows\system\nadlocop.exe','');
QuarantineFile('c:\windows\system32\update.exe','');
DeleteFile('c:\windows\system32\update.exe');
DeleteFile('c:\windows\system\nadlocop.exe');
DeleteFile('C:\WINDOWS\System32\DRIVERS\Mac606.sys');
DeleteFile('awtqnkh.dll');
DeleteFile('utqgukka.dll');
DeleteFile('C:\WINDOWS\System32\update.exe');
DeleteFile('C:\WINDOWS\System32\hrjqotgw.dll');
DeleteFile('C:\WINDOWS\System32\mllmj.dll');
DeleteFile('C:\WINDOWS\System32\awtqnkh.dll');
DeleteFile('C:\WINDOWS\System32\utqgukka.dll');
DeleteService('Mac606');
DelBHO('{A95B2816-1D7E-4561-A202-68C0DE02353A}');
DelBHO('{5AAF23D8-4489-43D8-A064-319D1254ABCA}');
DelBHO('{40646F83-9219-48B8-B0AA-634E317A37FA}');
DelBHO('{0ca4b75b-111a-4a05-83ce-52865b74f3ec}');
ClearHostsFile;
BC_LogFile(GetAVZDirectory + 'boot_clr.log');
BC_ImportALL;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно [b]приложения 3 [url=http://virusinfo.info/showthread.php?t=1235]правил [/url][/b].
Загружать по ссылке: [url]http://virusinfo.info/upload_virus.php?tid=17710[/url]
08.02.2008, 17:05
Bratez

В дополнение к вышесказанному -

Пофиксите в HijackThis:
[code]
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll (file missing)
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll (file missing)
O20 - Winlogon Notify: awtqnkh - awtqnkh.dll (file missing)
O20 - Winlogon Notify: utqgukka - utqgukka.dll (file missing)
[/code]
Обновите базы AVZ и сделайте новые логи.
08.02.2008, 19:03
Попов Алексей А

Новые логи

Вот логи.:)
08.02.2008, 20:02
rubin

[code]Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)[/code]
Надо ставить SP2 - это критично

Добьем остатки:
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\system32\xruicz.exe','');
QuarantineFile('C:\WINDOWS\system32\qtgk.exe','');
DeleteFile('C:\WINDOWS\system32\xruicz.exe');
DeleteFile('C:\WINDOWS\system32\qtgk.exe');
BC_ImportAll;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.[/code]
Пришлите новый карантин и повторите лог virusinfo_syscure
08.02.2008, 21:14
Попов Алексей А

не успел сделать последнее, сейчас вообще комп не загружается. Появляется рабочий стол и чере три секунды перезагрузка и так каждый раз. Что делать? Помогите пожалуйста, оч нужен комп.
08.02.2008, 21:25
akok

В безопастном режиме выполнить
приймем пилюли
[url=http://virusinfo.info/showthread.php?t=7239]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/url]
[CODE]begin
ExecuteRepair(6);
ExecuteRepair(7);
ExecuteRepair(8);
ExecuteRepair(9);
ExecuteRepair(16);
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.
08.02.2008, 21:26
V_Bond

+ скрипт ...[B] rubin [/B] ...
08.02.2008, 21:36
akok

Ок. сейчас объеденю в один скрипт

[size="1"][color="#666686"][B][I]Добавлено через 8 минут[/I][/B][/color][/size]

Вот объедененный скрипт....выполняйте

[code]begin
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\system32\xruicz.exe','');
QuarantineFile('C:\WINDOWS\system32\qtgk.exe','');
DeleteFile('C:\WINDOWS\system32\xruicz.exe');
DeleteFile('C:\WINDOWS\system32\qtgk.exe');
BC_ImportAll;
ExecuteRepair(6);
ExecuteRepair(7);
ExecuteRepair(8);
ExecuteRepair(9);
ExecuteRepair(16);
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.[/code]

Пришлите новый карантин и повторите лог virusinfo_syscure
09.02.2008, 07:25
Попов Алексей А

в безопастном режиме компьютер перезагрузается точно также через три секунды. Вот. Как быть? :(
09.02.2008, 07:49
Макcим

Чуток поправил скрипт. Выполните ещё раз.
09.02.2008, 09:10
Попов Алексей А

скажите как сделать это? Я не успеваю ничего сделать при загрузке. Сразу поисходит перезагрузка во всех режимах, в том числе и безопастном.

[size="1"][color="#666686"][B][I]Добавлено через 1 час 14 минут[/I][/B][/color][/size]

помогите пожалуйста.!!!!!!!!!!!! Плиз.!!!!!!!!!!!!
09.02.2008, 09:19
V_Bond

на время выполнения скрипта отключите интернет соединение ...
09.02.2008, 09:24
Попов Алексей А

дак как мне выполнить скрипт, если я не успеваю ничего сделать при загрузке виндос. Он тут же перезагружается во всех режимах! Я бы уже давно сделал то, что вы говорите. Нужно устранить проблему с загрузкой сначала
09.02.2008, 09:29
V_Bond

у вас сетевой кабель ? ... просто вытащите его ..
09.02.2008, 09:53
Попов Алексей А

Я сейчас установил вторую операционную и оттуда запустил скрипт. Как мне щас восстановить первую операционную систему??? Сетевой кабель отключен.
09.02.2008, 10:25
Попов Алексей А

Новые логи

Вот новые логи
09.02.2008, 10:32
Попов Алексей А

При загрузке первой операционной системы по сле окна Windows XP появляется синий экран ошибки и моментальная перезагрузка. Что делать????
09.02.2008, 10:39
V_Bond

нужен код ошибки ...
09.02.2008, 14:25
Попов Алексей А

а я не успеваю ее посмотреть. Все происходит очень быстро. Как-нидь можно это зафиксировать или глянуть где-нидь? А логи как, норм?

[size="1"][color="#666686"][B][I]Добавлено через 13 минут[/I][/B][/color][/size]

Как можно узнать номер этой ошибки?

[size="1"][color="#666686"][B][I]Добавлено через 1 час 31 минуту[/I][/B][/color][/size]

что-то можно сделать, подскажите???

[size="1"][color="#666686"][B][I]Добавлено через 1 час 50 минут[/I][/B][/color][/size]

никто не может помочь??? :(
09.02.2008, 17:05
V_Bond

Мой компьютер - свойства - дополнительно - загрузка и восстановление - снять галку с "выполнить автоматическую перезагрузку
10.02.2008, 02:21
pig

[QUOTE=Попов Алексей А;185334]А логи как, норм?[/QUOTE]
А какие ещё могут быть логи, сделанные в новой чистой системе?

Если система не заводится ни в обычном режиме, ни в безопасном... последнюю удачную конфигурацию пробовали? Если тоже не помогает, то это уже из серии "везите к нам". Или призовите мастера к себе. Пока нет способа прозрачно исследовать лежащую систему, загрузившись из другой.
22.02.2009, 03:52
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]12[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\program files\\bitaccelerator\\bitaccelerator.dll - [B]not-a-virus:AdWare.Win32.BHO.xq[/B] (DrWEB: Trojan.BitAcc)[*] c:\\program files\\connectionservices\\connectionservices.dll - [B]Trojan.Win32.ConnectionServices.o[/B] (DrWEB: Trojan.BitAcc)[*] c:\\windows\\system\\wcntfysvc.exe - [B]Backdoor.Win32.SdBot.cuw[/B] (DrWEB: BackDoor.IRC.Sdbot.2491)[*] c:\\windows\\system32\\awtqnkh.dll - [B]Trojan.Win32.Monder.gen[/B] (DrWEB: Trojan.Virtumod.240)[*] c:\\windows\\system32\\mllmj.dll - [B]Trojan.Win32.Monder.gen[/B] (DrWEB: Trojan.Virtumod.274)[*] c:\\windows\\system32\\onfdqsep.exe - [B]Trojan-Proxy.Win32.Agent.mf[/B] (DrWEB: Trojan.Proxy.2364)[*] c:\\windows\\system32\\svshost.exe - [B]Backdoor.Win32.SdBot.cmz[/B] (DrWEB: BackDoor.IRC.Sdbot.2010)[*] c:\\windows\\system32\\utqgukka.dll - [B]not-a-virus:AdWare.Win32.Virtumonde.dnn[/B] (DrWEB: Trojan.Virtumod.260)[*] c:\\windows\\system32\\windows - [B]Trojan.Win32.Zapchast.dt[/B] (DrWEB: Trojan.Starter.341)[*] c:\\windows\\system32\\xojdq.exe - [B]Backdoor.Win32.Rbot.eem[/B] (DrWEB: Win32.HLLW.MyBot)[/LIST][/LIST]