комп страшно глючит

Printable View

11.02.2007, 01:42
басс

Вложений: 3

комп страшно глючит

описывать долго и муторно. Работать невозможно. Ребята, помогите, компьютер очень нужен с утра. Спасибо.
11.02.2007, 01:56
Muffler

AVZ -> Файл -> Выполнить скрипт:

[CODE]
begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
QuarantineFile('instcat.dll','');
QuarantineFile('C:\Windows\System32\Check.exe','');
QuarantineFile('C:\Windows\RUNXMLPL.exe','');
QuarantineFile('C:\WINDOWS\system32\loidkw32.dll','');
QuarantineFile('C:\WINDOWS\system32\chk_disk.exe','');
QuarantineFile('C:\Documents and Settings\All Users\Документы\Settings\winsys2f.dll','');
QuarantineFile('\??\C:\WINDOWS\TEMP\cel90xbe.sys','');
QuarantineFile('C:\WINDOWS\system32\wsys.dll','');
QuarantineFile('C:\WINDOWS\system32\msnetax.dll','');
QuarantineFile('c:\cp1041.nls','');
QuarantineFile('c:\windows\system32\services.exe','');
QuarantineFile('c:\windows\system32\winlogon.exe','');
DeleteFile('C:\Documents and Settings\All Users\Документы\Settings\winsys2f.dll');
CreateQurantineArchive(GetAVZDirectory+'virusinfo_7884_quarantine.zip');
RebootWindows(true);
end.
[/CODE]

После перезагрузки, в папке AVZ найти файл [B]virusinfo_7884_quarantine.zip[/B] и прислать его нам по правилам(через [URL="http://virusinfo.info/upload_virus.php?tid=7884"]эту форму[/URL])
11.02.2007, 10:23
басс

Скрипт выполнил, файл выслал. Все это сделалось с большим трудом, выскакивали невпопад синие экраны с сообщениями о критических ошибках, компьютер сам перезагружался. При перезагрузке в самом начале на синем экране пишет, что необходимо проверить файловую систему диска D и начинает его проверять, но на 1-ом проценте останавливается и долго висит. Приходится его опять перезагружать и пропускать ту проверку.
11.02.2007, 12:06
Кто?

По Касперскому:
Backdoor.Win32.Agent.fo_____loidkw32.dll
Rootkit.Win32.Agent.dp______cel90xbe.sys
Trojan.Win32.Agent.ady______wsys.dll
Trojan.Win32.Agent.afg_______ msnetax.dll
SpamTool.Win32.Agent.u______cp1041.nls
11.02.2007, 12:30
RiC

c:\windows\system32\winlogon.exe тоже троян и его нужно заменить чистым файлом из дистрибутива.
11.02.2007, 12:31
AndreyKa

Не плохой улов
C:\WINDOWS\system32\loidkw32.dll - Trojan.DownLoader.18377 (DrWeb), Backdoor.Win32.Agent.fo (KAV)
C:\WINDOWS\system32\wsys.dll - Trojan.MulDrop.5450 (DrWeb), Trojan.Win32.Agent.ady (KAV)
C:\WINDOWS\system32\msnetax.dll - Trojan.Sender (DrWeb), Trojan.Win32.Agent.afg (KAV)
c:\windows\system32\winlogon.exe - Trojan.Starter.160 (DrWeb)
c:\cp1041.nls - SpamTool.Win32.Agent.u (KAV)
C:\WINDOWS\TEMP\cel90xbe.sys - Rootkit.Win32.Agent.dp (KAV)
11.02.2007, 12:37
басс

Так что делать? Дистрибутива нет, есть какие-то recovery диски, которые шли вместе с этим ноутбуком в комплекте, как из них вытаскивать чистый файл?
И как столько вирусов могло за один раз попасть на комп? Появилось все вроде быстро и сразу...
11.02.2007, 12:53
RiC

[QUOTE=басс;95419]Так что делать? Дистрибутива нет, есть какие-то recovery диски, которые шли вместе с этим ноутбуком в комплекте, как из них вытаскивать чистый файл?[/QUOTE]

Найдите и пришлите нам все файлы с именами winlogon.exe и winlogon.ex_ на вашем винчестере и компакт дисках которые были в комплекте с ноутбуком, если среди них будет чистый файл - тогда попробуем вылечить.
11.02.2007, 13:06
басс

нашелся только один файл на винчестере - c:\windows\system32\winlogon.exe (его и выслал), на дисках такого файла нет. Это излечимо? Или ОС переустанавливать?
11.02.2007, 20:21
RiC

[QUOTE=басс;95424]нашелся только один файл на винчестере - c:\windows\system32\winlogon.exe (его и выслал), на дисках такого файла нет. Это излечимо? Или ОС переустанавливать?[/QUOTE]
Попробую вылечить. Гарантий само собой никаких :)

Понадобится -
1. Вложение к этому письму - patch.rar
Скачать, распаковать, положить в один каталог Patch.exe и Winlogon.exe, каталог для простоты должен находится в корне диска C: и называться [b]aaa[/b] ( c:\aaa )
2. Запустить Patch и нажать на кнопку "Patch" после этого получите чистый Winlogon.exe, без трояна в комплекте и Winlogon.exe.bak троян - "на память". (Для других читателей этого поста - Patch [u]предназначен [b]только для басс[/b] !!![/u])
3. Качаете Inuse - [url]http://download.microsoft.com/download/winntsrv40/utility/1.3/nt4/en-us/inuse.exe[/url] и кладете в каталог [b]aaa[/b] к Winlogon.
4. Заходите в Пуск/выполнить и пишете такую команду -
[b]c:\aaa\inuse.exe c:\aaa\Winlogon.exe c:\windows\system32\Winlogon.exe /y[/b]
Появится табличка с просьбой перезагрузится - пусть висит - рано.
5. Запускаете AVZ - "Файл"=>"Выполнить скрипт"
[code]
begin
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\msnetax.dll');
DeleteFile('C:\WINDOWS\system32\wsys.dll');
DeleteFile('C:\WINDOWS\system32\loidkw32.dll');
DeleteFile('C:\Documents and Settings\All Users\Документы\Settings\winsys2f.dll');
DeleteFile('c:\cp1041.nls');
DeleteFile('C:\WINDOWS\TEMP\cel90xbe.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_LogFile(GetAVZDirectory + 'boot_clr.log');
BC_Activate;
RebootWindows(true);
end.
[/code]

Последует перезагрузка, если нигде не "промахнулся" в расчетах - загрузится уже "чистая" система, в таком случае повторите 2-й лог AVZ из правил для проверки.
11.02.2007, 20:33
басс

после запуска Patch,a пишет: "Wrong filesize or already patched! ...done"

Что делать и кто виноват?)))
11.02.2007, 20:42
RiC

[QUOTE=басс;95452]после запуска Patch,a пишет: "Wrong filesize or already patched! ...done"

Что делать и кто виноват?)))[/QUOTE]

Сколько раз Patch запускали ?
После первого запуска он восстанавливает, после второго - ругается. Вылеченный Winlogon должен получиться размером 503808 байт, если размер совпадает, то продолжайте дальше.
11.02.2007, 20:46
басс

ругаться он начал с первого раза, в папке тот же файл, что и был. В его свойствах написано так:
Размер 495 КБ (507 392 байт)
На диске 512 КБ (524 288 байт)

Он уже вылеченный? И нет обещанного файла с расширением .bak.

Пробовать дальше?
11.02.2007, 20:52
RiC

[QUOTE=басс;95458]ругаться он начал с первого раза, в папке тот же файл, что и был. В его свойствах написано так:
Размер 495 КБ (507 392 байт)
На диске 512 КБ (524 288 байт)

Он уже вылеченный? И нет обещанного файла с расширением .bak.

Пробовать дальше?[/QUOTE]

Нет, пришлите ещё раз этот файл.
11.02.2007, 21:02
басс

файл отослан
11.02.2007, 21:19
RiC

Вложений: 1

Такое ощущение, что этот троян в добавок ко всему глючит и постоянно дописывает в Winlogon какой-то мусор, во вложении Patch для того файла, что Вы прислали в последний раз.
11.02.2007, 21:58
басс

все получается, но при выполнении скрипта выдает ошибку:

[B]Ошибка: Undeclared identifier: 'BC_ImportDeletedList' в позиции 9:22
[/B]
11.02.2007, 22:11
RiC

А так -
[code]
begin
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\msnetax.dll');
DeleteFile('C:\WINDOWS\system32\wsys.dll');
DeleteFile('C:\WINDOWS\system32\loidkw32.dll');
DeleteFile('C:\Documents and Settings\All Users\Документы\Settings\winsys2f.dll');
DeleteFile('c:\cp1041.nls');
DeleteFile('C:\WINDOWS\TEMP\cel90xbe.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_LogFile(GetAVZDirectory + 'boot_clr.log');
BC_Activate;
RebootWindows(true);
end.
[/code]
11.02.2007, 22:13
басс

то же самое, та же ошибка...>:(
11.02.2007, 22:17
RiC

[QUOTE=басс;95475]то же самое, та же ошибка...>:([/QUOTE]
Не посмотрел - качайте свежий AVZ, Ваш таких команд не знает.
[url]http://z-oleg.com/avz4.zip[/url]
12.02.2007, 09:55
басс

Вложений: 1

теперь вроде получше, но в начале загрузки компа пишет о необходимости восстановить файловую систему диска D: и зависает на этом восстановлении. Если пропустить не давая начаться этому восстановлению - дальше грузится нормально.
Лог прилагается...
12.02.2007, 10:53
RiC

[QUOTE=басс;95523]теперь вроде получше, но в начале загрузки компа пишет о необходимости восстановить файловую систему диска D: и зависает на этом восстановлении. Если пропустить не давая начаться этому восстановлению - дальше грузится нормально.
Лог прилагается...[/QUOTE]
Ничем не лучше. Попытайтесь повторить - [url]http://virusinfo.info/showpost.php?p=95451&postcount=10[/url] начиная с 4 пункта, чистый файл Winlogon.exe у Вас уже есть, если ничего не получится тогда придется переставлять винду.
12.02.2007, 21:27
басс

Вложений: 2

пробовал повторить, после:
[B]"...4. Заходите в Пуск/выполнить и пишете такую команду -
c:\aaa\inuse.exe c:\aaa\Winlogon.exe c:\windows\system32\Winlogon.exe /y
Появится табличка с просьбой перезагрузится - пусть висит - рано."[/B]
никаких табличек не появлялось...
Вобщем, переустановил я Виндовс. Проблема с диском D: при включении компьютера осталась, нервов только никаких не осталось!>:(

Диски, которые шли в комплекте с ноутом, с операционкой Home Edition, при установке он не спрашивает нужно ли отформатировать диск. В итоге я переустановил Виндовс не форматируя диски C: и D:. Как мне теперь отформатировать оба диска на винчестере?
12.02.2007, 21:41
AndreyKa

Диск D: можно отформатировать в Windows, просто, щелкнув на нем правой кнопкой мышки и выбрав "Фораматировать".

---
Логи чистые.
22.02.2009, 01:37
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]3[/B][*]Обработано файлов: [B]10[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\cp1041.nls - [B]Trojan-Proxy.Win32.Pixoliz.ib[/B] (DrWEB: Trojan.Packed.76)[*] c:\\windows\\system32\\loidkw32.dll - [B]Backdoor.Win32.Agent.fo[/B] (DrWEB: Trojan.DownLoader.18377)[*] c:\\windows\\system32\\msnetax.dll - [B]Trojan.Win32.Msnetax.f[/B] (DrWEB: Trojan.Sender)[*] c:\\windows\\system32\\winlogon.exe - [B]Trojan.Win32.Patched.g[/B] (DrWEB: Trojan.Starter.160)[*] c:\\windows\\system32\\wsys.dll - [B]Trojan.Win32.Agent.ady[/B] (DrWEB: Trojan.MulDrop.5450)[*] c:\\windows\\temp\\cel90xbe.sys - [B]Rootkit.Win32.Agent.dp[/B] (DrWEB: Trojan.NtRootKit.206)[/LIST][/LIST]