Junior Member
Вес репутации
59
Сведения об ошибке Microsoft
Изначально не запусклась почти ни одна программа (при зауске сразу выскакивало окно об отправке ошибки в службу Микрософт), после лечения DrWeb вроеде немного система ожила, но при загрузке винды всё равно сразу вылезает эта ошибка. Также не могу выполнить первый скрипт в АВЗ (для создания virusinfo_syscure.zip ), при его запуске комп перегружается. Прошу помочь в решении проблемы.
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Junior Member
Вес репутации
59
Вложения
не надоело под админом ловить?
Пофиксите в HijackThis:
Код:
F2 - REG:system.ini: UserInit=C:\WINDOWS.0\system32\userinit.exe,C:\WINDOWS.0\system32\pdbcopy.exe,C:\WINDOWS.0\system32\ntos.exe,C:\WINDOWS.0\system32\c++.exe,
O4 - HKCU\..\Run: [Firewall auto setup] C:\DOCUME~1\SNAB01\LOCALS~1\Temp\winlogon.exe
O4 - HKCU\..\Run: [f94mggfhfghodftdf] C:\DOCUME~1\SNAB01\LOCALS~1\Temp\winlogan.exe
O4 - HKCU\..\Run: [Access Control App] C:\DOCUME~1\SNAB01\LOCALS~1\Temp\winsto.exe
не перегружая компьютер-> отключите антивирус и инет .
выполнить скрипт в avz
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\windows.0\system32\cnab4rpk.exe','');
DelBHO('{B2AC49A2-94F3-42BD-F434-2604812C897D}');
DelBHO('{F10587E9-0E47-4CBE-84AE-7DD20B8684BB}');
DelBHO('{F10587E9-0E47-4CBE-84AE-7DD20B8684CC}');
QuarantineFile('C:\Program Files\Helper\superfindout.dll','');
QuarantineFile('C:\WINDOWS.0\system32\pdbcopy.exe','');
QuarantineFile('C:\WINDOWS.0\system32\ntos.exe','');
QuarantineFile('C:\WINDOWS.0\system32\hg543fdg.dll','');
QuarantineFile('C:\WINDOWS.0\system32\c++.exe','');
QuarantineFile('C:\DOCUME~1\SNAB01\LOCALS~1\Temp\winsto.exe','');
QuarantineFile('C:\DOCUME~1\SNAB01\LOCALS~1\Temp\winlogon.exe','');
QuarantineFile('C:\DOCUME~1\SNAB01\LOCALS~1\Temp\winlogan.exe','');
QuarantineFile('C:\WINDOWS.0\system32\DRIVERS\secdrv.sys','');
QuarantineFile('C:\WINDOWS.0\System32\drivers\protect.sys','');
QuarantineFile('C:\WINDOWS.0\system32\DRIVERS\Ip6Fw.sys','');
QuarantineFile('C:\Program Files\Common Files\System\apcsvra.dll','');
QuarantineFile('C:\Program Files\Common Files\System\apcsvra.exe','');
QuarantineFile('C:\WINDOWS.0\system32\DRIVERS\Yojm43.sys','');
QuarantineFile('C:\WINDOWS.0\0\system32\ntkrnlpa.exe','');
QuarantineFile('C:\WINDOWS.0\0\system32\ntdll.dll','');
DeleteFile('C:\WINDOWS.0\System32\drivers\protect.sys');
DeleteFile('C:\WINDOWS.0\system32\DRIVERS\Ip6Fw.sys');
DeleteFile('C:\DOCUME~1\SNAB01\LOCALS~1\Temp\winlogan.exe');
DeleteFile('C:\DOCUME~1\SNAB01\LOCALS~1\Temp\winlogon.exe');
DeleteFile('C:\DOCUME~1\SNAB01\LOCALS~1\Temp\winsto.exe');
DeleteFile('C:\WINDOWS.0\system32\c++.exe');
DeleteFile('C:\WINDOWS.0\system32\hg543fdg.dll');
DeleteFile('C:\WINDOWS.0\system32\ntos.exe');
DeleteFile('C:\Program Files\Helper\superfindout.dll');
DeleteFile('C:\WINDOWS.0\system32\DRIVERS\Yojm43.sys');
DeleteFile('C:\WINDOWS.0\system32\pdbcopy.exe');
BC_DeleteSvc('Yojm43');
BC_DeleteSvc('ICF');
BC_DeleteSvc('Ip6Fw');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(6);
ExecuteRepair(8);
ExecuteRepair(9);
ExecuteRepair(13);
BC_Activate;
RebootWindows(true);
end.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=21593
Новые логи сделать.
Последний раз редактировалось drongo; 16.04.2008 в 12:08 .
Причина: Добавлено
Junior Member
Вес репутации
59
Выполнил, но скрипт, по-моему не прошёл, комп ушёл в перезагрузку.
В карантине пусто, вот новые логи:
Вложения
Junior Member
Вес репутации
59
Какие будут предложения? Заранее спасибо.
Добавлено через 39 минут
Удалось выполнить скрипт из поста №3
Файл сохранён как 080416_043001_virus_4805c719b1e2b.zip
Размер файла 126889
MD5 18a860d36fb3973fa703c9721868643c
сейчас сделаю новые логи
Последний раз редактировалось vmax; 16.04.2008 в 13:31 .
Причина: Добавлено
Junior Member
Вес репутации
59
Вложения
Junior Member
Вес репутации
59
Что-нибудь видно по этим логам?
Восстановление системы: включено \ отулючить ...
выполните скрипт ...
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS.0\Temp\5.tmp','');
QuarantineFile('C:\WINDOWS.0\system32:lzx32.sys:$DATA','');
BC_DeleteSvc('apcsvra');
QuarantineFile('C:\Program Files\Common Files\System\apcsvra.dll','');
BC_DeleteSvc('apcsvra32');
QuarantineFile('C:\Program Files\Common Files\System\apcsvra.exe','');
DeleteFile('C:\Program Files\Common Files\System\apcsvra.exe');
DeleteFile('C:\WINDOWS.0\system32:lzx32.sys:$DATA');
DeleteFile('C:\WINDOWS.0\Temp\5.tmp');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
пришлите карантин согласно приложения 3 правил .....
повторите логи ...
Junior Member
Вес репутации
59
В АВЗ в архивеничего не отображается, выслал архив этой папки вручную:
Файл сохранён как 080417_003242_2008-04-17_4806e0fac4a58.zip
Размер файла 65229
MD5 203285d5dd4ce3e701255cac9cc826a3
Логи сейчас сделаю
Junior Member
Вес репутации
59
Вложения
ntkrnlpa.exe - пришлите согласно приложения 2 правил ...
Junior Member
Вес репутации
59
АВЗ Его находит в system и в system32, но в карантин они не добавляются:
Ошибка карантина файла, попытка прямого чтения (ntkrnlpa.exe)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS.0\ntkrnlpa.exe)
Карантин с использованием прямого чтения - ошибка
запакуйте его "вручную" с паролем virus и пришлите ....
Junior Member
Вес репутации
59
не грузится, при нажатии "загрузить" выскакивает "не возмлжно отобразить страницу". Архив размером 1 096 Кб.
Добавлено через 3 часа 0 минут
Что ещё можете посоветовать?
Последний раз редактировалось vmax; 17.04.2008 в 14:34 .
Причина: Добавлено
Сообщение от
vmax
Что ещё можете посоветовать?
прислать карантин как положено .... ,
вcе три присланных файла пинчи ....
Junior Member
Вес репутации
59
В том-то и дело. что в карантин они никак не хотят попадать, пробовал и в безопасном режиме, тоже самое. При поиске файла он находит его (ntkrnlpa.exe) в трёх папкках, выделяю, нажимаю отправить в карантин, вроде говорит, что успешно, но при просмотре карантина там пусто. Как быть?
скопировать файл в проводнике и заархивировать с паролем virus
Junior Member
Вес репутации
59
Как я уже писал выше архив получается более 1 Мб и не загружается по ссылке http://virusinfo.info/upload_virus.php?tid=21593
весьма странно ... умудряются по 40 мегабайт засовыввать ...
попробуйте другим браузером ...
Итог лечения
Статистика проведенного лечения:
Получено карантинов: 2 Обработано файлов: 38 В ходе лечения обнаружены вредоносные программы:
c:\\windows.0\\system32\\drivers\\yojm43.sys - Rootkit.Win32.Agent.aic (DrWEB: Trojan.NtRootKit.1034) \\2008-04-17\\avz00001.dta - Trojan.Win32.AntiAV.j (DrWEB: Trojan.Inject.2573) \\2008-04-17\\avz00002.dta - Trojan.Win32.AntiAV.j (DrWEB: Trojan.Inject.2573) \\2008-04-17\\avz00003.dta - Trojan.Win32.AntiAV.j (DrWEB: Trojan.Inject.2573)