что делать??

Printable View

11.11.2008, 16:33
KLASK

что делать??

Добрый день, помогите пожалуйста, на компьютере установлен NOD32 с последними базами при перезагрузке обнаруживает вирус Win32 WIgon с разными названиями файлов в папке windows\system32\drivers\win****.sys
Только мне логи никак не отправить:
делаю всё как написано в правилах... Только после выполнения стандартоного скрипта (пункт 1.) у меня комп перезагружается сразу. и в папке логи ничего нету...... :(
11.11.2008, 16:56
Rene-gad

Переходите к следующему пункту правил и сделайте 2 лога.
11.11.2008, 17:10
KLASK

Вложений: 2

сделал вот 2 лога
11.11.2008, 17:25
V_Bond

выполните скрипт
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
BC_DeleteSvc('Winvb40');
BC_DeleteSvc('Winua48');
BC_DeleteSvc('Winty48');
BC_DeleteSvc('Winty27');
BC_DeleteSvc('Winqx27');
BC_DeleteSvc('Winqv73');
BC_DeleteSvc('Winin26');
BC_DeleteSvc('Winim61');
BC_DeleteSvc('Winbg84');
BC_DeleteSvc('Winbg73');
BC_DeleteSvc('Winah16');
BC_DeleteSvc('Winaf27');
BC_DeleteSvc('WZCSVCRSVPNtmsSvcCiSvc');
BC_DeleteSvc('WZCSVCRSVP');
BC_DeleteSvc('winmgmtProtectedStorage');
BC_DeleteSvc('VSSRDSessMgrdmadmin');
BC_DeleteSvc('upnphostNetlogon');
BC_DeleteSvc('SysmonLogdmadmin');
BC_DeleteSvc('SSDPSRVRDSessMgrdmadmin');
BC_DeleteSvc('ScheduleRasMan');
BC_DeleteSvc('SCardDrvWZCSVCRSVP');
BC_DeleteSvc('SCardDrvNetlogon');
BC_DeleteSvc('SamSsSchedule');
BC_DeleteSvc('RpcSsRDSessMgr');
BC_DeleteSvc('RDSessMgrWZCSVC');
BC_DeleteSvc('RDSessMgrdmadminCiSvc');
BC_DeleteSvc('RDSessMgrdmadmin');
BC_DeleteSvc('RasAutoNtmsSvcCiSvc');
BC_DeleteSvc('NtmsSvcCiSvc');
BC_DeleteSvc('NetmanRichVideo');
BC_DeleteSvc('NetDDEdsdmSpooler');
BC_DeleteSvc('ImapiServiceMSDTC');
BC_DeleteSvc('FastUserSwitchingCompatibilityRemoteRegistry');
BC_DeleteSvc('ERSvclanmanserver');
BC_DeleteSvc('CryptSvcImapiServiceMSDTC');
BC_DeleteSvc('COMSysAppShellHWDetection');
BC_DeleteSvc('AudioSrvPlugPlay');
BC_DeleteSvc('AudioSrvClipSrv');
BC_DeleteSvc('ALGNetDDEdsdmSpooler');
QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll','');
QuarantineFile('c:\windows\msauc.exe','');
QuarantineFile('c:\documents and settings\klask\klask.exe','');
DeleteFile('c:\windows\msauc.exe');
DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
DeleteFile('C:\WINDOWS\System32\Drivers\Winaf27.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winah16.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winbg73.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winbg84.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winim61.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winin26.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winqv73.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winqx27.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winty27.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winty48.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winua48.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winvb40.sys');
DeleteFile('C:\WINDOWS\msauc.exe');
DeleteFile('WinCtrl32.dll');
DeleteFile('msansspc.dll');
DeleteFile('C:\Documents and Settings\klask\klask.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил
повторите логи
11.11.2008, 17:38
KLASK

[quote=V_Bond;308440]выполните скрипт

пришлите карантин согласно приложения 3 правил
повторите логи[/quote]
После запуска этого скрипта у меня комп опять сразу перезагружается и в карантине ничего нету!?:O :(
11.11.2008, 17:43
Rene-gad

[QUOTE=KLASK;308444]После запуска этого скрипта у меня комп опять сразу перезагружается[/QUOTE]
Удалите строку
[CODE]SearchRootkit(true, true);
[/CODE]и сделайте все по сообщению V_Bond.
12.11.2008, 09:47
KLASK

Вложений: 2

Ок! всё сделал, файл карантина отправил, вот логи: опять только 2 лога, так как снова при попытке запустить первый скрипт комп перезагружается :(
12.11.2008, 09:56
V_Bond

выполните скрипт
[code]
begin
SetAVZGuardStatus(True);
BC_DeleteSvc('Winvb16');
BC_DeleteSvc('Winpu40');
BC_DeleteSvc('NtmsSvcCiSvcSCardDrvNetlogonNtmsSvcCiSvc');
BC_DeleteSvc('NtmsSvcCiSvcSCardDrvNetlogon');
BC_DeleteSvc('NtmsSvcCiSvcBITS');
BC_DeleteSvc('ALGFastUserSwitchingCompatibility');
DeleteFile('C:\WINDOWS\System32\Drivers\Winpu40.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winvb16.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
повторите логи
12.11.2008, 10:08
KLASK

Вложений: 2

[quote=V_Bond;308661]выполните скрипт
повторите логи[/quote]
ок скрипт выполнил. Вот логи: (опять только 2 по той же причине)
12.11.2008, 10:20
Rene-gad

-[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/URL]
[CODE]
O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\
[/CODE]

Вот тут Ваши проблемы начинаются:
[QUOTE]Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)[/QUOTE]
Систему обновить: Поставить Сервис Пак 3+последующие обновления. Активация потребуется. Если не получится - переходите на Линукс, с такой непатченной системой Вам долго не протянуть.
12.11.2008, 10:33
KLASK

[quote=Rene-gad;308668]-[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/URL]
[code]
O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\
[/code]

Вот тут Ваши проблемы начинаются:

Систему обновить: Поставить Сервис Пак 3+последующие обновления. Активация потребуется. Если не получится - переходите на Линукс, с такой непатченной системой Вам долго не протянуть.[/quote]
Пофиксил.. всё? теперь вирусов нету?
Мне надо переустановить винду? или можно обновление поставить на этот виндус?
Где можно скачать SP3?
12.11.2008, 10:34
Rene-gad

[QUOTE=KLASK;308675]теперь вирусов нету? [/QUOTE]Понятия не имею. В логах ничего больше подозрительного нет - это факт :)
[QUOTE=KLASK;308675]Мне надо переустановить винду? [/QUOTE]Где я об этом писал? :)
12.11.2008, 10:38
KLASK

Не. Я просто спрашиваю чтобы поставить SP3 не надо переустанавливать виндус? нужно только патч поставить? А где его скачать можно?
12.11.2008, 11:03
V_Bond

на официальном сайте майкрософт ... но ваш кряк не сработает .... лучший вариант купить лицензию ...
12.11.2008, 11:08
KLASK

Ну вот я поэтому и спрашиваю, чтобы установить SP3 придётся винду переустанавливать? Ведь на эту винду которая у меня стоит не поставить sp3?
И ешё вопрос восстановление системы можно включать уже?
12.11.2008, 12:16
Гриша

Поставить можно и поставится, только активацию может потребовать, восстановление можете включить, если оно так нужно...
12.11.2008, 17:01
KLASK

Вложений: 3

Поставил SP3 и explorer 7.0!!! Только вот после проверки опять нашлось много вирусув и тому подобного, Nod32 тоже пишет что файлы в карантине не были отправлены на анализ.... Помогите пожалуйста избавиться от этой заразы. Логи сделал:
12.11.2008, 17:02
KLASK

ещё вопрос virusinfo_cure.zip этот файл нужно было прикреплять или нет?
12.11.2008, 17:04
Гриша

[URL="http://virusinfo.info/showthread.php?t=7239"]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
[/URL]

[CODE]begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('SENSNVSvc');
QuarantineFile('C:\WINDOWS\system32\wpv1780.cpx','');
DeleteFile('C:\WINDOWS\system32\wpv1780.cpx');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteSvc('SENSNVSvc');
BC_Activate;
RebootWindows(true);
end.[/CODE]

Пришлите карантин, сделайте полную проверку CureIT и повторите логи...

P.S. нет его прикреплять не нужно...
12.11.2008, 17:11
KLASK

А проверку CureIT запускать в безопасном режиме? И ещё вопросик: у меня CureIT пишет что устаревший, я скачал обновление и появился такойже значок только название launch, мне его (launch) запускать?
12.11.2008, 17:12
Гриша

Да в безопасном, launch.exe запускать...
12.11.2008, 22:03
KLASK

Вложений: 3

Всё сделал, вот логи:
ещё новый карантин отправил...
Ещё вопросик: Я правильно делаю, что отключаю интернет, перед запуском этого скрипта: [B]Скрипт лечения/карантина и сбора информации для раздела "Помогите!" virusinfo.info[/B]?
12.11.2008, 22:09
Гриша

В логах чисто...
12.11.2008, 22:11
KLASK

[quote=Гриша;309024]В логах чисто...[/quote]
а в карантине??? Мне карантин удалять?
12.11.2008, 22:13
Гриша

Удаляйте...
12.11.2008, 22:45
KLASK

Вложений: 1

[quote=Гриша;309024]В логах чисто...[/quote]
Не знаю, но мне кажется вирусы остались, я щас опять запустил avz скрипт: [B]Скрипт лечения/карантина и сбора информации для раздела "Помогите!" virusinfo.info[/B]
он снова находит много всего: лог я приложил..
карантин новый отправляю..
12.11.2008, 22:50
Гриша

Ну если вы мне не верите, подождите пока вам кто-нибудь другой ответит...
12.11.2008, 22:55
KLASK

[quote=Гриша;309037]Ну если вы мне не верите, подождите пока вам кто-нибудь другой ответит...[/quote]
Я всем хелперам верю. Просто почему avz опять находит вирусы???, я же лог прикрепил... ответь пожалуйста, я так для себя хочу знать..., объясни пожалуйста.
12.11.2008, 23:03
Гриша

Где вы вирусы увидели?
12.11.2008, 23:07
KLASK

[quote=Гриша;309042]Где вы вирусы увидели?[/quote]
в логе прикреплённом. например: C:\Program Files\DivX\DivX Converter\dpil100.dll >>> подозрение на AdvWare.Win32.NewWeb.i ( 00707F72 00000000 001AEEF2 001AFFE8 61440)
Файл успешно помещен в карантин (C:\Program Files\DivX\DivX Converter\dpil100.dll)

[B]или[/B]

\FileSystem\ntfs[IRP_MJ_CREATE] = 864861E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_CLOSE] = 864861E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_WRITE] = 864861E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_INFORMATION] = 864861E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_INFORMATION] = 864861E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_EA] = 864861E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_EA] = 864861E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_VOLUME_INFORMATION] = 864861E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_VOLUME_INFORMATION] = 864861E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_DIRECTORY_CONTROL] = 864861E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_FILE_SYSTEM_CONTROL] = 864861E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_DEVICE_CONTROL] = 864861E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_LOCK_CONTROL] = 864861E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_SECURITY] = 864861E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_SECURITY] = 864861E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_PNP] = 864861E8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_CREATE] = 867D21E8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_CLOSE] = 867D21E8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_WRITE] = 867D21E8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_QUERY_INFORMATION] = 867D21E8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_SET_INFORMATION] = 867D21E8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_QUERY_EA] = 867D21E8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_SET_EA] = 867D21E8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_QUERY_VOLUME_INFORMATION] = 867D21E8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_SET_VOLUME_INFORMATION] = 867D21E8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_DIRECTORY_CONTROL] = 867D21E8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_FILE_SYSTEM_CONTROL] = 867D21E8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_DEVICE_CONTROL] = 867D21E8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_LOCK_CONTROL] = 867D21E8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_PNP] = 867D21E8 -> перехватчик не определен
12.11.2008, 23:16
Гриша

Удалите эмулятор дисков и DivX Converter и все пропадет...
12.11.2008, 23:24
KLASK

))) Извини за мою тупость... Всё понятно . Спасибо за помошь!!!.