-
Junior Member
- Вес репутации
- 60
Отсутствует панель управления,заблокирован Диспечер задач
Отсутствует панель управления,заблокирован Диспечер задач, свойство компьютера нельзя посмотреть и.т.д. логи создал в безопасном режиме в обычном режиме винд работает пару минут и перезагрузка, подхватил в интернете и компьютер перезагрузился и вот токая проблема.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Давайте логи хоть из безопасного режима, я так понял получились.
-
И опять не получилось вложить.
-
Junior Member
- Вес репутации
- 60
Последний раз редактировалось киря; 12.06.2008 в 00:46.
-
Отключите восстановление системы!
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
StopService('Bhm40');
SetServiceStart('Bhm40', 4);
QuarantineFile('C:\WINDOWS\Temp\iframestat.exe','');
QuarantineFile('C:\WINDOWS\system32\vedxg4am1et2.exe','');
QuarantineFile('C:\WINDOWS\system32\vedxga1me4t1.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\Svk45.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\symavc32.sys','');
QuarantineFile('C:\WINDOWS\system32\marwin32.dll','');
QuarantineFile('C:\WINDOWS\system32\wowfx.dll','');
QuarantineFile('C:\WINDOWS\system32\winmed.exe','');
QuarantineFile('C:\WINDOWS\system32\wind32.exe','');
QuarantineFile('C:\WINDOWS\system32\vedxg6ame4.exe','');
QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
QuarantineFile('C:\WINDOWS\system32\n2ewma1xxsv2234.exe','');
QuarantineFile('C:\WINDOWS\Installer\{36a326e8-d127-4f81-a90a-c29077bc6b29}\ComponentKbd.dll','');
QuarantineFile('C:\Documents and Settings\User\Local Settings\Application Data\cftmon.exe','');
QuarantineFile('C:\Documents and Settings\LocalService.NT AUTHORITY\Local Settings\Application Data\cftmon.exe','');
QuarantineFile('C:\DOCUME~1\User\LOCALS~1\Temp\winlogon.exe','');
QuarantineFile('C:\WINDOWS\system32\Drivers\asc3550p.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Bhm40.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\spools.exe','');
QuarantineFile('C:\WINDOWS\system32\winlugan.exe','');
QuarantineFile('C:\WINDOWS\system32\Drivers\Svk45.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\Bhm40.sys','');
QuarantineFile('C:\WINDOWS\system32\xlibgfl254.dll','');
QuarantineFile('C:\WINDOWS\system32\WLCtrl32.dll','');
DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll');
DeleteFile('C:\WINDOWS\system32\xlibgfl254.dll');
DeleteFile('C:\WINDOWS\system32\Drivers\Bhm40.sys');
DeleteFile('C:\WINDOWS\system32\Drivers\Svk45.sys');
DeleteFile('C:\WINDOWS\system32\winlugan.exe');
DeleteFile('C:\WINDOWS\system32\drivers\spools.exe');
DeleteFile('C:\WINDOWS\System32\Drivers\Bhm40.sys');
DeleteFile('C:\WINDOWS\system32\Drivers\asc3550p.sys');
DeleteFile('C:\DOCUME~1\User\LOCALS~1\Temp\winlogon.exe');
DeleteFile('C:\Documents and Settings\LocalService.NT AUTHORITY\Local Settings\Application Data\cftmon.exe');
DeleteFile('C:\Documents and Settings\User\Local Settings\Application Data\cftmon.exe');
DeleteFile('C:\WINDOWS\system32\n2ewma1xxsv2234.exe');
DeleteFile('C:\WINDOWS\system32\ntos.exe');
DeleteFile('C:\WINDOWS\system32\vedxg6ame4.exe');
DeleteFile('C:\WINDOWS\system32\wind32.exe');
DeleteFile('C:\WINDOWS\system32\winmed.exe');
DeleteFile('C:\WINDOWS\system32\wowfx.dll');
DeleteFile('C:\WINDOWS\system32\marwin32.dll');
DeleteFile('C:\WINDOWS\system32\drivers\symavc32.sys');
DeleteFile('C:\WINDOWS\system32\drivers\Svk45.sys');
DeleteFile('C:\WINDOWS\system32\vedxga1me4t1.exe');
DeleteFile('C:\WINDOWS\system32\vedxg4am1et2.exe');
DeleteFile('C:\WINDOWS\Temp\iframestat.exe');
BC_ImportALL;
BC_DeleteSvc('asc3550p');
BC_DeleteSvc('Bhm40');
BC_DeleteSvc('Schedule');
BC_DeleteSvc('CcEvtSvc');
BC_DeleteSvc('1Google Online Search Service');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=19562).
Сделайте новые логи.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 60
Все зделал но что-то осталось
Все зделал компьютер перестал перезагружаться. но что-то осталось выскакивает ошибка системы и её не как не закрыть, постояно хочет подключится в интернет, не дает посмотреть свойство компьютера, не открывается диспечер, панель управления непоявилось нельзя нечего удальть не дает. Зделал фотки посмотрите.
Последний раз редактировалось киря; 12.06.2008 в 00:46.
-
Отключите восстановление системы!!!
1. Выполните скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\marwin32.dll','');
QuarantineFile('xlibgfl254.dll','');
QuarantineFile('wowfx.dll','');
QuarantineFile('winmed.exe','');
QuarantineFile('WLCtrl32.dll','');
QuarantineFile('E:\PdtGuide.exe','');
QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
QuarantineFile('C:\WINDOWS\Installer\{36a326e8-d127-4f81-a90a-c29077bc6b29}\ComponentKbd.dll','');
DeleteFile('C:\WINDOWS\system32\ntos.exe');
DeleteFile('WLCtrl32.dll');
DeleteFile('winmed.exe');
DeleteFile('wowfx.dll');
DeleteFile('xlibgfl254.dll');
DeleteFile('C:\WINDOWS\system32\marwin32.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
2. Карантин по правилам.
3. Пофиксить, что останется:
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDO WS\system32\ntos.exe,
O2 - BHO: Her - {FFFFFFFF-F538-4f86-ABAF-E9D94D5C007C} - C:\WINDOWS\system32\marwin32.dll (file missing)
O4 - HKLM\..\Run: [WinMed] winmed.exe
O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Pol icies\System, DisableRegedit=1
O20 - Winlogon Notify: WLCtrl32 - WLCtrl32.dll (file missing)
-
-
Вдогонку еще такой скрипт:
Код:
begin
ExecuteRepair(6);
ExecuteRepair(8);
ExecuteRepair(11);
ExecuteRepair(16);
ExecuteRepair(17);
RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
RebootWindows(true);
end.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 60
Отлично но осталось одна пакасть
Выскакивает тобличка и пытается выйти в интернет пробовал выходить он начинае закачивать что-то непонятное в C:\Program Files разные фаилы после этого пропадают все подключения в интернет. Хорошо что перед этим создал архив системы смог вернуть все обратно.
Последний раз редактировалось киря; 12.06.2008 в 00:46.
-
А hijackthis.log - где?
Добавлено через 5 минут
Выполните в АВЗ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{FFFFFFFF-F538-4f86-ABAF-E9D94D5C007C}');
DeleteFile('C:\WINDOWS\system32\marwin32.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Поищите при помощи АВЗ сервис поиск файлов на диске - winlugan.exe пришлите его согласно приложению 2 правил.
Повторите логи...
Последний раз редактировалось wise-wistful; 12.03.2008 в 12:44.
Причина: Добавлено
-
Junior Member
- Вес репутации
- 60
Последний раз редактировалось киря; 12.06.2008 в 00:46.
-
Junior Member
- Вес репутации
- 60
Сообщение от
киря
Вот новые логи
Результат загрузки
Файл сохранён как080312_062318_virus_47d7bd263451d.zipРазмер файла3600MD57c6799287d5d62bbacfea03efb5bff56Файл закачан, спасибо!
-
winlugan.exe - Trojan-Downloader.Win32.Winlagons.ak
Выполните в АВЗ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\system32\winlugan.exe');
DeleteFile('c:\windows\system32\winlugan.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Повторите логи, надеюсь в последний раз
-
Junior Member
- Вес репутации
- 60
Все ровно не помогло переставил винт
Не помогло все ровно закачивал что-то непонятное всем спасибо за помощь