здравствуйте. у меня обычная проблема: где-то удалось подхватить вирусов. комп что-то долго грузит после загрузки винды, да так, что невозможно работать. в общем, обычная история. помогите, пожалуйста.
здравствуйте. у меня обычная проблема: где-то удалось подхватить вирусов. комп что-то долго грузит после загрузки винды, да так, что невозможно работать. в общем, обычная история. помогите, пожалуйста.
Ad-Aware удалить ....
восстановление системы - отключить ...
выполните скрипт ...
пришлите карантин согласно приложения 3 правил ...Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\svchost.exe:ext.exe:$DATA',''); DeleteFile('C:\WINDOWS\system32\svchost.exe:ext.exe:$DATA'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
повторите логи ...
простите, а Вы не могли бы проверить всё заново? вот новые логи. просто в прошлый раз не получилось доделать процедуру (хотя скрипт выполнил), и вдобавок появились различные поп-апы, предлагающие якобы купить / скачать различные ad-aware программы.
удалите все антиспаи !!! толку от них 0 (оставте только антивирус).... а лечению мешать будут ...
скачайте C:\WINDOWS\System32\drivers\Vcg04.sys - force delete
віполните скрипт авз
пришлите карантин согласно приложения 3 правил ...Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\dllcache\comctl32.dll:_rc_db_sec_obj:$DATA',''); QuarantineFile('C:\WINDOWS\system32\dllcache\comctl32.dll:_rc_db_5.1.2600:$DATA',''); QuarantineFile('C:\WINDOWS\system32\comctl32.dll:_rc_db_sec_obj:$DATA',''); QuarantineFile('C:\WINDOWS\system32\comctl32.dll:_rc_db_5.1.2600:$DATA',''); QuarantineFile('c:\windows\system32\comctl32.dll:_rc_db_sec_obj:$DATA',''); QuarantineFile('c:\windows\system32\comctl32.dll:_rc_db_5.1.2600:$DATA',''); DelBHO('{fc3a74e5-f281-4f10-ae1e-733078684f3c}'); DelBHO('{ffff0001-0002-101a-a3c9-08002b2f49fb}'); DelBHO('{9c5b2f29-1f46-4639-a6b4-828942301d3e}'); DelBHO('{965a592f-8efa-4250-8630-7960230792f1}'); DelBHO('{8674aea0-9d3d-11d9-99dc-00600f9a01f1}'); DelBHO('{622cc208-b014-4fe0-801b-874a5e5e403a}'); DelBHO('{5fa6752a-c4a0-4222-88c2-928ae5ab4966}'); DelBHO('{5dafd089-24b1-4c5e-bd42-8ca72550717b}'); DelBHO('{5929cd6e-2062-44a4-b2c5-2c7e78fbab38}'); DelBHO('{4e7bd74f-2b8d-469e-92c6-ce7eb590a94d}'); DelBHO('{4e1075f4-eec4-4a86-add7-cd5f52858c31}'); DelBHO('{15651c7c-e812-44a2-a9ac-b467a2233e7d}'); DelBHO('{13197ace-6851-45c3-a7ff-c281324d5489}'); DelBHO('{00000250-0320-4dd4-be4f-7566d2314352}'); QuarantineFile('C:\Documents and Settings\HooverCraft\Local Settings\Application Data\loads_lamo.exe',''); QuarantineFile('C:\DOCUME~1\HOOVER~1\LOCALS~1\Temp\loader.exe',''); BC_DeleteSvc('ndisaluo'); QuarantineFile('C:\WINDOWS\system32\Drivers\ndisaluo.sys',''); BC_DeleteSvc('ntio922'); BC_DeleteSvc('Fkp73'); QuarantineFile('C:\WINDOWS\System32\Drivers\Fkp73.sys',''); BC_DeleteSvc('diperto13aa-ec1'); QuarantineFile('C:\WINDOWS\system32\diperto13aa-ec1.sys',''); BC_DeleteSvc('Schedule'); QuarantineFile('C:\WINDOWS\system32\drivers\loads_lamonax.exe',''); BC_DeleteSvc('CcEvtSvc'); QuarantineFile('C:\WINDOWS\System32\CcEvtSvc.exe',''); QuarantineFile('C:\WINDOWS\System32\drivers\Vcg04.sys',''); QuarantineFile('C:\WINDOWS\system32\ftpdll.dll',''); QuarantineFile('C:\Documents and Settings\All Users\Документы\Settings\partnership.dll',''); QuarantineFile('c:\windows\winlogon.exe',''); QuarantineFile('c:\windows\system32\drivers\spools.exe',''); QuarantineFile('c:\docume~1\hoover~1\locals~1\temp\setup.exe',''); QuarantineFile('c:\windows\system32\mgmrwmrv.exe',''); QuarantineFile('C:\WINDOWS\explorer.exe',''); QuarantineFile('c:\docume~1\hoover~1\locals~1\temp\7498.tmp',''); QuarantineFile('c:\docume~1\hoover~1\locals~1\temp\3cfa.tmp',''); QuarantineFile('c:\docume~1\hoover~1\locals~1\temp\1d1e.tmp',''); DeleteFile('c:\docume~1\hoover~1\locals~1\temp\1d1e.tmp'); DeleteFile('c:\docume~1\hoover~1\locals~1\temp\3cfa.tmp'); DeleteFile('c:\docume~1\hoover~1\locals~1\temp\7498.tmp'); DeleteFile('c:\windows\system32\mgmrwmrv.exe'); DeleteFile('c:\docume~1\hoover~1\locals~1\temp\setup.exe'); DeleteFile('c:\windows\system32\drivers\spools.exe'); DeleteFile('c:\windows\winlogon.exe'); DeleteFile('C:\WINDOWS\system32\ftpdll.dll'); DeleteFile('C:\WINDOWS\System32\drivers\Vcg04.sys'); DeleteFile('C:\WINDOWS\System32\CcEvtSvc.exe'); DeleteFile('C:\WINDOWS\system32\drivers\loads_lamonax.exe'); DeleteFile('C:\WINDOWS\system32\diperto13aa-ec1.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Fkp73.sys'); DeleteFile('C:\WINDOWS\system32\Drivers\ntio922.sys'); DeleteFile('C:\WINDOWS\system32\Drivers\ndisaluo.sys'); DeleteFile('C:\DOCUME~1\HOOVER~1\LOCALS~1\Temp\loader.exe'); DeleteFile('C:\Documents and Settings\HooverCraft\Local Settings\Application Data\loads_lamo.exe'); DeleteFile('WLCtrl32.dll'); DeleteFile('kdmhg.exe'); DeleteFile('c:\windows\system32\comctl32.dll:_rc_db_5.1.2600:$DATA'); DeleteFile('c:\windows\system32\comctl32.dll:_rc_db_sec_obj:$DATA'); DeleteFile('C:\WINDOWS\system32\comctl32.dll:_rc_db_5.1.2600:$DATA'); DeleteFile('C:\WINDOWS\system32\comctl32.dll:_rc_db_sec_obj:$DATA'); DeleteFile('C:\WINDOWS\system32\dllcache\comctl32.dll:_rc_db_5.1.2600:$DATA'); DeleteFile('C:\WINDOWS\system32\dllcache\comctl32.dll:_rc_db_sec_obj:$DATA'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
повторите логи ...
скачал icesworld, нашёл этот файл, вроде удалил, антиспаи удалил, скрипт выполнил, но теперь при запуске мне винда пишет что explorer.exe не удаётся запуститься, т.к. не найден какой-то файл.... пишу уже с другой винды.
карантин выслал.
логи тоже сдругой винды .. ? смысла в них нет ...
на какой файл ругается ?
логи с другой винды, но я в авз отметил тот hdd, на котором установлена проблемная винда.
у файла длинное имя, минуточку...
нет так логи не делают ... это не то ...
пишет, что explorer.exe не удалось найти компонент... приложению не удалось запуститься, т.к. файл comctl32.dll:_vc_db_51_2000 не был найден.
логи попробую сделать в safe mode.
Добавлено через 6 минут
увы, в safe mode такая же проблема: не загружается винда.
поправка небольшая: имя файла - comctl32.dll:_vc_db_51_2600
Последний раз редактировалось yevgeny; 24.03.2008 в 11:20. Причина: Добавлено
в карантине только ...
C:\WINDOWS\system32\w32sys15.exe Trojan.Agent.AGRM ...
попробуйте загрузить последнюю рабочую конфигурацию ...
попробовал, всё равно не загружается и просит этот файл. если я новый comctl32.dll скопирую в /system32, это мне что-то даст? как-то ещё можно решить эту проблему или винду на снос?
накатите винду в режиме восстановления ... должно помочь ...
затем сделайте логи ..
простите за глупый вопрос, а это как? просто у меня восстановление системы на той винде было отключено, т.к. того требовало лечение.
это ... запустите установку windows ... вам будет задан вопрос - установить в новую папку и ли восстановить копию виндовс .... выбираете поврежденный ....
простите за ламерство, но если Вы имеете ввиду установку виндоус с диска, то там нет опции восстановления. по крайней мере найти я её не смог.
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 1
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\system32\\w32sys15.exe - Trojan.PHP.Turame.a (DrWEB: Trojan.Roro)
Уважаемый(ая) yevgeny, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.