Не могу удалить хвосты epfwndis.sysи т.д. Помогите !!!!!!!

**Dmitrij2** · 16.08.2009, 05:17

Здраствуйте прошу помочь дулить хвосты которые остались после Nod32 новый нод не могу установить из-за тех самых хвостов. До этого просто установил не помню что и nod всбесился ночал множество блокировать страниц компьтер издавал такие звуки как когда найдено новое оборудование. Я не знаю что делать. Пробовал все кроме самого последнего. Помогите пожалуйста.Вот где в компе у меня находятся хвостики первый C:\WINDOWS\system32\drivers\epfwndis.sys второй здесь C:\Program Files\ESET\ESET Smart Security\Drivers\epfwndis\epfwndis.sys. На компьютере 2 windows-a На диске С И Д га диске Д тоже куча хвостов. Что делать посоветуйте пожалуйста. И Там и там Нод удалил когда устанавливаю новый нод выдает ошиб с этим файлом epfwndis.sys

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Bratez** · 16.08.2009, 07:52

Сделайте лог в соответствии с п.2 раздела Диагностика правил.

**Dmitrij2** · 16.08.2009, 10:42

сейчас сделаю

Вот что получилось. Посмотрите пожалуйста.

Ребята помогите пожалуйста

**Зайцев Олег** · 16.08.2009, 13:14

Сообщение от Dmitrij2

Ребята помогите пожалуйста

Следует внимательно изучить и выполнить правила ... в частности, обновить базы AVZ, и сделать положенных по правилам логи (их должно быть три, а в данном случае один)

**Dmitrij2** · 16.08.2009, 13:52

Сообщение от Зайцев Олег

Следует внимательно изучить и выполнить правила ... в частности, обновить базы AVZ, и сделать положенных по правилам логи (их должно быть три, а в данном случае один)

Сейчас сделаю

Вот заметил такое
Безопасность: к ПК разрешен доступ анонимного пользователя
Я не разрышал никакого доступа анонимного администратора.
Сделал все как вправилах. Подскажите пожалуйста что дальше.

Опять чтото не так сделал???

Да и еще когда я игнорирую ошибку при установке нод32 ишибка в изменении вот этого файла C:\Program Files\ESET\ESET Smart Security\Drivers\epfwndis\epfwndis.sys То нод устанавливаеться интернет не включаеться нод сам не работает потом когда комп перезагружаю идет загрузка винды потом синий экран смерти потом перезагрузка и наша песня хороша начинай с начала

**Rene-gad** · 16.08.2009, 16:28

Закройте/выгрузите все программы кроме AVZ и Internet Explorer.

- Отключите ПК от интернета/локалки
- Отключите Антивирус и Файрвол.
- Отключите Системное восстановление.

-Пофиксите

Код:

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://lonerd.dreamprogs.net
R3 - URLSearchHook: (no name) -  - (no file)
O2 - BHO: XML module - {500BCA15-57A7-4eaf-8143-8C619470B13D} - C:\WINDOWS\system32\msxml71.dll
O4 - HKLM\..\Run: [14268] C:\WINDOWS\system32\5.tmp.exe
O4 - HKLM\..\Run: [reader_s] C:\WINDOWS\System32\reader_s.exe
O4 - HKCU\..\Run: [pridl] "C:\Documents and Settings\Дмитрий\Application Data\pridl\pridl.exe" no
O4 - HKCU\..\Run: [Monopod] C:\Temp\b.exe
O4 - HKCU\..\Run: [reader_s] C:\Documents and Settings\Дмитрий\reader_s.exe

-Выполните скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 TerminateProcessByName('c:\temp\b.exe');
 TerminateProcessByName('c:\documents and settings\Дмитрий\application data\pridl\pridl.exe');
 QuarantineFile('C:\WINDOWS\System32\reader_s.exe','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\auch8alb.SYS','');
 QuarantineFile('C:\WINDOWS\system32\DRIVERS\zrxmdimbbyje1.sys','');
 QuarantineFile('C:\WINDOWS\system32\msxml71.dll','');
 QuarantineFile('c:\documents and settings\Дмитрий\application data\pridl\pridl.exe','');
 QuarantineFile('c:\temp\b.exe','');
 QuarantineFile('C:\WINDOWS\system32\5.tmp.exe','');
 DeleteFile('C:\WINDOWS\system32\5.tmp.exe');
 DeleteFile('c:\temp\b.exe');
 DeleteFile('c:\documents and settings\Дмитрий\application data\pridl\pridl.exe');
 DeleteFile('C:\WINDOWS\system32\msxml71.dll');
 DeleteFile('C:\WINDOWS\system32\DRIVERS\zrxmdimbbyje1.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\auch8alb.SYS');
 DeleteFile('C:\WINDOWS\System32\reader_s.exe');
 DelBHO('{500BCA15-57A7-4eaf-8143-8C619470B13D}');
 RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(13);
SetAVZPMStatus(True);
RebootWindows(true);
end.

После перезагрузки:

- Пролечитесь от файловых вирусов: http://virusinfo.info/showthread.php?t=15927
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте лог GMER
- Повторите в точности действия, описанные в пп.1 - 3 раздела правил Диагностика, новые логи прикрепите к новому сообщению.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).

**Dmitrij2** · 16.08.2009, 23:11

Добрый вечер ясделак как все написано выше но послы выполнения пункта После перезагрузки:

- Пролечитесь от файловых вирусов: http://virusinfo.info/showthread.php?t=15927

любой из браузеров перестал захадить на такие сайты как касперский аваст и в том числе и ваш. Что мне делать сейчас я зашел сдругой винду которая тоже заражена но она на другом диске. Помогите пожалуйста.

Я тот виндовс профиксел, выполнил скрипт пролечил от файловых вирусов их было мало при быстром сканирование 38 а вот при полном их появилось около 300 что-то вылечелось штук 15 удалилось. Как мне быть помогите пожалуйста.

Добавлено через 21 минуту

И еще когда стоял нод32 я Включал контер страйк 1.6 то он включался нормально как только отклбчить защиту нода то выдает эту ошибку Microsoft Visual C++ Runtime Library
Runtime Error
Program: F:\Program Files\Valve\hl.exe
abnormal program termination
Что это это тоже вирус??? Переустанавливал раз 10

**Rene-gad** · 17.08.2009, 00:26

Сообщение от Dmitrij2

любой из браузеров перестал захадить на такие сайты как касперский аваст и в том числе и ваш.

- Очистите темп-папки, кэш проводников и корзину - выполнено?
Если Да - логи сделайте и с другого компа сюда прикрепите.

**Dmitrij2** · 17.08.2009, 02:00

Ok. Сделаю.

Вот что получилось.

**Bratez** · 17.08.2009, 03:02

Файловый вирус по-прежнему жив.
Верное средство тут: http://www.freedrweb.com/livecd/.
Подключите свои съемные носители, загрузитесь с этого CD и сделайте полную проверку (все диски).

**Dmitrij2** · 17.08.2009, 03:26

Спасибо сейчас сделаю.

Сделал как было сказано выше. Вот что получилось.
Какие дальше действия подскажите пожалуйста.

Никакиз предложений что мне дальше делать не будет???

**Rene-gad** · 17.08.2009, 20:33

>>>> Опасно - файл avz.exe изменен, его CRC не прошла контроль по базе безопасных

- Скачайте Special AVZ (alias kiss_me.pif) и в дальнейшем работайте с ним. Базы обновлять не надо.

Закройте/выгрузите все программы кроме AVZ и Internet Explorer.

- Отключите ПК от интернета/локалки
- Отключите Антивирус и Файрвол.
- Отключите Системное восстановление.

-Пофиксите

Код:

O4 - HKLM\..\Run: [3776] C:\WINDOWS\system32\E.tmp.exe
O4 - HKLM\..\Run: [reader_s] C:\WINDOWS\System32\reader_s.exe
O4 - HKLM\..\Run: [RegistryWm] C:\WINDOWS\system32\qtwm.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKCU\..\Run: [reader_s] C:\Documents and Settings\Дмитрий\reader_s.exe

-Выполните скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 TerminateProcessByName('c:\windows\system32\reader_s.exe');
 TerminateProcessByName('c:\windows\system32\qtwm.exe');
 StopService('zrwosmgd9');
 StopService('zqvjrfpsprl3');
 DeleteService('zrwosmgd9');
 DeleteService('zqvjrfpsprl3');
 DeleteFile('c:\windows\system32\reader_s.exe');
 DeleteFile('c:\windows\system32\qtwm.exe');
 DeleteFile('C:\WINDOWS\system32\E.tmp');
 DeleteFile('C:\WINDOWS\system32\DRIVERS\zvdwiwynrd5.sys');
 DeleteFile('C:\WINDOWS\system32\DRIVERS\zrwosmgd9.sys');
 DeleteFile('C:\WINDOWS\system32\DRIVERS\zqvjrfpsprl3.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\aghpk8ef.SYS');
 DeleteFile('C:\Documents and Settings\Дмитрий\reader_s.exe');
 DeleteFileMask('%temp%','*.*',true);
 DeleteFileMask('c:\windows\temp','*.*',true);
 DeleteFileMask('c:\windows\system32','*.tmp',true);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 BC_DeleteSvc('zrwosmgd9');
 BC_DeleteSvc('zqvjrfpsprl3');
SetAVZPMStatus(True);
RebootWindows(true);
end.

После перезагрузки:

- Сделайте лог GMER
- Повторите в точности действия, описанные в пп.1 - 3 раздела правил Диагностика, новые логи прикрепите к новому сообщению.

**Dmitrij2** · 17.08.2009, 21:14

Я скачал этот фал alias kiss_me.pif . Дальше я выполняю скрипты спомощью него??? Я Вас правильно понял??? Или его закинуть там гед AVZ находиться поясните пожалуйста.

**Rene-gad** · 17.08.2009, 21:20

Сообщение от Dmitrij2

Я скачал этот фал alias kiss_me.pif . Дальше я выполняю скрипты спомощью него???

Да. Это полиморфная версия АВЗ.

**Dmitrij2** · 17.08.2009, 22:52

Вот что получилось
Вот только когда Винда загружаеться возле часиков в трее появляеться желтый треугольничик со знаком восклицания производит звук и исчезает.Что это может быть???
P.S.:На ваш зашел с этой венды раньше не заходил.

Только что перезагрузил компьютер и при загрузке еще сам виндовс не открылся выдалась ошибка что такой пользователь в сети уже есть. Что это означает??? Кто-то от меня подключился??? Подскажите пожалуйста.

**thyrex** · 17.08.2009, 23:34

1. Выполните скрипт в AVZ

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Temp\b.exe','');
 QuarantineFile('C:\WINDOWS\system32\Drivers\NDIS.sys','');
 DeleteFile('C:\Temp\b.exe');
DeleteFileMask('C:\Temp', '*.*', true);
DeleteFile('C:\Windows\Tasks\{BB65B0FB-5712-401b-B616-E69AC55E2757}.job');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

2. Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

3. C:\WINDOWS\system32\Drivers\NDIS.sys заменить по этой методике (но не из папки dllcache)

4. Сделайте новые логи

**Dmitrij2** · 18.08.2009, 00:07

При перезагрузке Windows когда загружаеться виндовс вылазиет вот эта ошибка
Ошибка Windows
В сети существуют совпадающие имена

Карантин вам выслал.
Не могу заменить C:\WINDOWS\system32\Drivers\NDIS.sys заменить по этой методике (но не из папки dllcache)
В пепке dllcache его вообще не существует а %systemroot%\ServicePackFiles\i386 Несуществует.
Пытаюсь разобраться где его можно найти. Подскажите а в установочном диске он есть??? Если да то где его искать???
Логи сделаю после того как заменю этот файл.

**pig** · 18.08.2009, 00:30

Сообщение от Dmitrij2

При перезагрузке Windows когда загружаеться виндовс вылазиет вот эта ошибка
Ошибка Windows
В сети существуют совпадающие имена

У вас машина в локальной сети? Кто админ этой сети - точнее, кто назначает имена машинам?

**Dmitrij2** · 18.08.2009, 00:34

Да машина в локальной сети. Кто назначает я не знаю дают просто ip адрес и все

Добавлено через 1 минуту

Ну вот только перезагрузился вроде такой ошибки небылочто это может быть??? но желтый треугольничек внутри которого знак восклицания в трее появляется и потом исчезает.

**pig** · 18.08.2009, 00:41

Продолжаем разговор. Это полноценная локальная сеть - то есть, вы заходите на другие машины в сети, забираете какие-то файлы, оставляете свои - или чисто для интернета?