В обычном режиме комп ребутится сразу же после загрузки, или же на экране появляются темно-синие иероглифы. В безопасном режиме вроде в порядке...
В обычном режиме комп ребутится сразу же после загрузки, или же на экране появляются темно-синие иероглифы. В безопасном режиме вроде в порядке...
Скачайте
Icesword
Запустите программу.
Внизу слева выберите меню File.
Появится аналог проводника. Найдите в нем:
C:\WINDOWS\System32\Drivers\Tpvr66.sys
Нажмите по нему правой кнопкой мыши и выберите force delete.
На запрос потверждения ответьте "да".
Перезагрузите компьютер.
Добавлено через 5 минут
Пофиксить в HijackThis следующие строчки
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".Код:F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe, O20 - Winlogon Notify: kerberos4 - C:\WINDOWS\SYSTEM32\win32yyq.dll O20 - Winlogon Notify: WLCtrl32 - C:\WINDOWS\SYSTEM32\WLCtrl32.dll
После выполнения скрипта компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(true); SetServiceStart('Dkm14', 4); SetServiceStart('Microsoft Agent', 4); StopService('Microsoft Agent'); QuarantineFile('C:\Program Files\OneStepSearch\onestep.dll',''); QuarantineFile('C:\Documents and Settings\Антон.1809BFB5E3414DC\Local Settings\Temp\winlogon.exe',''); QuarantineFile('C:\Documents and Settings\Антон.1809BFB5E3414DC\Local Settings\Temp\sv32_3.exe',''); QuarantineFile('c:\windows\system32\svchost.exe:ext.exe:$DATA',''); QuarantineFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe',''); QuarantineFile('win32yyq.dll',''); QuarantineFile('WLCtrl32.dll',''); QuarantineFile('C:\WINDOWS\system32\ntos.exe',''); QuarantineFile('C:\Documents and Settings\Антон.1809BFB5E3414DC\Рабочий стол\Moto Racer 3\Mr3.exe',''); QuarantineFile('C:\DOCUME~1\2DA2~1.180\LOCALS~1\Temp\winlogon.exe',''); QuarantineFile('Ip6Fw.sys',''); QuarantineFile('C:\WINDOWS\system32\dllcache\qxchost.exe',''); QuarantineFile('Tpvr66.sys',''); QuarantineFile('protect.sys',''); QuarantineFile('C:\WINDOWS\Temp\IcnOvrly.dll',''); QuarantineFile('C:\WINDOWS\system32\win32yyq.dll',''); QuarantineFile('C:\WINDOWS\system32\autonju.dll',''); DeleteFile('C:\WINDOWS\system32\autonju.dll'); DeleteFile('C:\WINDOWS\system32\win32yyq.dll'); DeleteFile('C:\WINDOWS\Temp\IcnOvrly.dll'); DeleteFile('protect.sys'); DeleteFile('Tpvr66.sys'); DeleteFile('C:\WINDOWS\system32\dllcache\qxchost.exe'); DeleteFile('C:\WINDOWS\System32\Drivers\Dkm14.sys'); DeleteFile('C:\DOCUME~1\2DA2~1.180\LOCALS~1\Temp\winlogon.exe'); DeleteFile('C:\WINDOWS\system32\ntos.exe'); DeleteFile('WLCtrl32.dll'); DeleteFile('win32yyq.dll'); DeleteFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe'); DeleteFile('c:\windows\system32\svchost.exe:ext.exe:$DATA'); DeleteFile('c:\windows\system32\win32yyq.dll'); DeleteFile('C:\Documents and Settings\Антон.1809BFB5E3414DC\Local Settings\Temp\sv32_3.exe'); DeleteFile('C:\Documents and Settings\Антон.1809BFB5E3414DC\Local Settings\Temp\winlogon.exe'); DeleteFile('C:\WINDOWS\system32\svchost.exe:ext.exe:$DATA'); DeleteService('Dkm14'); DeleteService('Tpvr66.sys') DeleteService('Microsoft Agent'); DelAutorunByFileName('WLCtrl32.dll'); BC_ImportALL; BC_DeleteSvc('Browser'); BC_Activate; ExecuteSysClean; RebootWindows(true); end.
Пришлите карантин согласно приложению 3 правил
Добавлено через 23 минуты
Повторите логи.
Последний раз редактировалось akoK; 26.05.2008 в 13:45. Причина: Добавлено
Microsoft Most Valuable Professional in Consumer Security
Огромное спасибо, всё четко сработало... Высылаю файлы.
Где еще один лог?
Во-первых, ссылка на icesword дохлая. Во-вторых, скрипт лечения/карантина и сбора информации вырубает комп, оставаляя на экране злополучные иероглифы.. Гриша, не сердись у кого с первого раза все получается?!
во первых ссылка рабочая ...
во вторых сосле удаления айсвордом все заработает ...
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 46
- В ходе лечения обнаружены вредоносные программы:
- c:\\documents and settings\\антон.1809bfb5e3414dc\\local settings\\temp\\sv32_3.exe - Trojan-Downloader.Win32.Diehard.fx (DrWEB: BackDoor.Bulknet.163)
- c:\\documents and settings\\антон.1809bfb5e3414dc\\local settings\\temp\\winlogon.exe - Trojan-Proxy.Win32.Small.jy (DrWEB: Trojan.Packed.573)
- c:\\docume~1\\2da2~1.180\\locals~1\\temp\\winlogon .exe - Trojan-Proxy.Win32.Small.jy (DrWEB: Trojan.Packed.573)
- c:\\program files\\onestepsearch\\onestep.dll - not-a-virus:AdWare.Win32.OneStep.d (DrWEB: Adware.OneStep)
- c:\\windows\\system32\\dllcache\\qxchost.exe - Backdoor.Win32.IRCBot.wd (DrWEB: Win32.HLLW.Zurenie)
- c:\\windows\\system32\\ntos.exe - Trojan-Spy.Win32.Zbot.bhu (DrWEB: Trojan.Packed.424)
- c:\\windows\\system32\\svchost.exe:ext.exe:$data - Trojan.Win32.Obfuscated.avi (DrWEB: Trojan.Spambot.3332)
- c:\\windows\\system32\\win32yyq.dll - Trojan.Win32.Zapchast.ep (DrWEB: Trojan.PWS.Mailspy.41)
- c:\\windows\\system32\\wlctrl32.dll - Trojan-Downloader.Win32.Mutant.bj (DrWEB: Trojan.DownLoader.54123)
- c:\\windows\\temp\\icnovrly.dll - Trojan-PSW.Win32.Agent.ais (DrWEB: Trojan.PWS.Poof)
Уважаемый(ая) Antony69, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.