Здравствуйте! выскакивает эта ошибка: KernelDrv.exe-Неверный образ, и при загрузке винды тоже куча ошибок. Логи прилагаются:
(Вложение 40431
Вложение 40432
Вложение 40433
Здравствуйте! выскакивает эта ошибка: KernelDrv.exe-Неверный образ, и при загрузке винды тоже куча ошибок. Логи прилагаются:
(Вложение 40431
Вложение 40432
Вложение 40433
Последний раз редактировалось Demonic; 31.03.2008 в 19:34.
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
После выполнения скрипта компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(true); SetServiceStart('Schedule', 4); SetServiceStart('lanmandrv', 4); SetServiceStart('WinSecurServ05', 4); StopService('Schedule'); StopService('WinSecurServ05'); StopService('lanmandrv'); QuarantineFile('C:\Program Files\Helper\1204439641.dll',''); QuarantineFile('D:\autorun.inf',''); QuarantineFile('C:\WINDOWS\Temp\1.exe',''); QuarantineFile('C:\WINDOWS\system32\winlagons.exe',''); QuarantineFile('c:\windows\system32\asussetup.dll',''); QuarantineFile('wmedia32.exe',''); QuarantineFile('C:\WINDOWS\TEMP\ieobj.dll',''); QuarantineFile('WLCtrl32.dll',''); QuarantineFile('C:\Documents and Settings\All Users\Документы\Settings\partnership.dll',''); QuarantineFile('C:\WINDOWS\system32\wowfx.dll',''); QuarantineFile('C:\WINDOWS\system32\DRIVERS\Ip6Fw.sys',''); QuarantineFile('C:\WINDOWS\System32\lanmandrv.sys',''); QuarantineFile('C:\WINDOWS\system32\Microsoft\svchost.exe',''); QuarantineFile('C:\WINDOWS\system32\drivers\spools.exe',''); QuarantineFile('C:\WINDOWS\system32\Drivers\Ydm84.sys',''); QuarantineFile('C:\WINDOWS\system\hipsrv.mm',''); QuarantineFile('C:\WINDOWS\System32\Drivers\a3uzc62q.SYS',''); QuarantineFile('C:\Program Files\ndhagjyl\gjnnyagh.dll',''); QuarantineFile('C:\WINDOWS\system32\WLCtrl32.dll',''); QuarantineFile('C:\WINDOWS\system32\ftpdll.dll',''); QuarantineFile('c:\windows\system32\kerneldrv.exe',''); QuarantineFile('c:\windows\system32\drivers\spools.exe',''); QuarantineFile('c:\documents and settings\Аня\local settings\application data\cftmon.exe',''); DeleteFile('c:\documents and settings\Аня\local settings\application data\cftmon.exe'); DeleteFile('c:\windows\system32\drivers\spools.exe'); DeleteFile('c:\windows\system32\kerneldrv.exe'); DeleteFile('C:\Documents and Settings\Аня\Local Settings\Application Data\cftmon.exe'); DeleteFile('C:\WINDOWS\system32\drivers\spools.exe'); DeleteFile('C:\WINDOWS\system32\ftpdll.dll'); DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll'); DeleteFile('C:\Program Files\ndhagjyl\gjnnyagh.dll'); DeleteFile('C:\WINDOWS\system\hipsrv.mm'); DeleteFile('C:\WINDOWS\system32\Drivers\Ydm84.sys'); DeleteFile('C:\WINDOWS\system32\Microsoft\svchost.exe'); DeleteFile('C:\WINDOWS\System32\lanmandrv.sys'); DeleteFile('C:\WINDOWS\system32\wowfx.dll'); DeleteFile('C:\Documents and Settings\All Users\Документы\Settings\partnership.dll'); DeleteFile('WLCtrl32.dll'); DeleteFile('C:\WINDOWS\TEMP\ieobj.dll'); DeleteFile('wmedia32.exe'); DeleteFile('c:\windows\system32\asussetup.dll'); DeleteFile('C:\WINDOWS\system32\drivers\ip6fw.sys'); DeleteFile('C:\WINDOWS\system32\lanmandrv.sys'); DeleteFile('C:\WINDOWS\system32\winlagons.exe'); DeleteFile('C:\WINDOWS\Temp\1.exe'); DeleteFile('D:\autorun.inf'); DeleteFile('C:\Program Files\Helper\1204439641.dll'); DelBHO('{36DBC179-A19F-48F2-B16A-6A3E19B42A87}'); DelBHO('{92780B25-18CC-41C8-B9BE-3C9C571A8263}'); DelBHO('{F10587E9-0E47-4CBE-ABCD-7DD20B8622FF}'); DelBHO('{B3B010A1-A877-4CD7-BAB5-9EE8F9965E20}'); DeleteService('lanmandrv'); DeleteService('WinSecurServ05'); DeleteService('Schedule'); BC_ImportALL; BC_DeleteSvc('Ydm84'); BC_Activate; ExecuteSysClean; RebootWindows(true); end.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=20685
Повторите логи
Microsoft Most Valuable Professional in Consumer Security
Скрипт выполнен...Карантин выслан...Логи прилагаютс
Вложение 40595
Вложение 40596
Вложение 40597
Последний раз редактировалось Demonic; 02.04.2008 в 20:09.
скачайте C:\WINDOWS\system32\WLCtrl32.dll, C:\WINDOWS\System32\Drivers\Ydm84.sys - force delete
затем выполните скрипт авз ....
пришлите карантин согласно приложения 3 правил ...Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\ctfmona.exe',''); QuarantineFile('C:\Documents and Settings\LocalService\Local Settings\Application Data\cftmon.exe',''); BC_DeleteSvc('hipsrv'); QuarantineFile('C:\WINDOWS\system\hipsrv.mm',''); QuarantineFile('C:\WINDOWS\system32\Drivers\Ydm84.sys',''); QuarantineFile('C:\WINDOWS\system32\WLCtrl32.dll',''); BC_DeleteSvc('Ydm84'); DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll'); DeleteFile('C:\WINDOWS\system\hipsrv.mm'); DeleteFile('C:\Documents and Settings\LocalService\Local Settings\Application Data\cftmon.exe'); DeleteFile('C:\WINDOWS\system32\ctfmona.exe'); DeleteFile('WLCtrl32.dll'); DeleteFile('wowfx.dll'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
повторите логи ...
C:\WINDOWS\system32\WLCtrl32.dll, C:\WINDOWS\System32\Drivers\Ydm84.sys - force delete -> сделано, скрипты выполнены, карантин отправлен, логи:
Вложение 40982
Вложение 40983
Вложение 40984
Последний раз редактировалось Demonic; 06.04.2008 в 18:51.
выполните скрипт ...
пришлите карантин согласно приложения 3 правил ...Код:begin ClearQuarantine; SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\PROGRA~1\COMMON~1\INSTAL~1\UPDATE~1\isuspm.exe',''); QuarantineFile('C:\WINDOWS\Temp\BN7B.tmp',''); QuarantineFile('C:\WINDOWS\Installer\{ca82b94e-77f1-411d-9548-e0268e0f7f88}\DriveCD.dll',''); BC_DeleteSvc('Iile47'); QuarantineFile('Iile47.sys',''); DeleteFile('Iile47.sys'); DeleteFile('C:\WINDOWS\Temp\BN7B.tmp'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
скрипт выполнен, карантин отправлен...
C:\WINDOWS\Installer\{ca82b94e-77f1-411d-9548-e0268e0f7f88}\DriveCD.dll Trojan.Win32.Agent.fhg
C:\WINDOWS\Temp\BN7B.tmp Trojan.Hotreg
C:\PROGRA~1\COMMON~1\INSTAL~1\UPDATE~1\isuspm.exe - чистый
выполните скрипт ....
повторите логи ...Код:begin SearchRootkit(true, true); SetAVZGuardStatus(true); DeleteFile('C:\WINDOWS\Installer\{ca82b94e-77f1-411d-9548-e0268e0f7f88}\DriveCD.dll'); BC_ImportDeletedList; BC_Activate; ExecuteSysClean; RebootWindows(true); end.
Скрипт выполнил, логи:
Последний раз редактировалось Demonic; 23.04.2008 в 13:49.
Пофиксите
Какие-то проблемы остались?O20 - Winlogon Notify: partnershipreg - C:\WINDOWS\
O20 - Winlogon Notify: WLCtrl32 - C:\WINDOWS\
Пофиксил, вроде больше проблем нет...Биг сенк сервису
Уважаемый(ая) Demonic, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.