-
Junior Member
- Вес репутации
- 58
Помогите, при входе в интернет, компьютер выключается!!!
Здравствуйте дорогие модераторы! у меня очень серьёзная проблема: при входе в сеть, через несколько минут вылезает окошко с удомлением о об ошибке Generic Host Process for Win32 Servises, кликаешь не отправлять и выскакивает подозрительное окошко с надписью:
"Сохраните все данные и выйдите из системы. Все несохраненные изменения будут потеряны" Производится отчет времени в одну минуту, а в низу написано: Отмена системы вызвана NT AUTHORITY/SYSTEM"
Помогите пожалуйста, Касперский находит вирус, но он не может его удалить, заранее благадарю!
Cooler
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
весьма знатная коллекция ...
скачать заранее http://www.tksinc.us/downloads/WinsockXPFix.exe если после лечения пропадет интернет примените ... настройки интернета придется вводить заново поэтому лучше их сразу записать ...
скачайте C:\WINDOWS\system32\Drivers\Kos37.sys ,C:\WINDOWS\Jos15.sys,C:\WINDOWS\system32\Drivers\ Dim83.sys- force delete
выполните скрипт ..
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('D:\autorun.inf','');
QuarantineFile('C:\autorun.inf','');
QuarantineFile('C:\WINDOWS\Temp\BN7.tmp','');
QuarantineFile('C:\WINDOWS\Temp\BN66.tmp','');
QuarantineFile('C:\WINDOWS\Temp\BN61.tmp','');
QuarantineFile('C:\WINDOWS\Temp\BN6.tmp','');
QuarantineFile('C:\WINDOWS\Temp\BN5F.tmp','');
QuarantineFile('C:\WINDOWS\Temp\BN5D.tmp','');
QuarantineFile('C:\WINDOWS\Temp\BN5B.tmp','');
QuarantineFile('C:\WINDOWS\Temp\BN59.tmp','');
QuarantineFile('C:\WINDOWS\Temp\BN5.tmp','');
QuarantineFile('C:\WINDOWS\Temp\BN12.tmp','');
QuarantineFile('C:\WINDOWS\Temp\167375.exe','');
QuarantineFile('C:\WINDOWS\system32\WinData.cab','');
QuarantineFile('C:\WINDOWS\system32\drivers\Qvb72.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\ctl_w32.sys','');
DelBHO('{100EB1FD-D03E-47FD-81F3-EE91287F9465}');
QuarantineFile('kdkcy.exe','');
QuarantineFile('WinCtrl32.dll','');
QuarantineFile('C:\WINDOWS\Temp\startdrv.exe','');
DeleteService('Wcg72');
QuarantineFile('C:\WINDOWS\System32\Drivers\Wcg72.sys','');
DeleteService('uyD72');
QuarantineFile('C:\WINDOWS\System32\Drivers\uyD72.sys','');
DeleteService('aaudstum');
QuarantineFile('C:\DOCUME~1\95E4~1\LOCALS~1\Temp\aaudstum.sys','');
DeleteService('smtpdrv');
QuarantineFile('smtpdrv.sys','');
DeleteService('runtime2');
DeleteService('Kos37');
QuarantineFile('C:\WINDOWS\System32\Drivers\Kos37.sys','');
DeleteService('Jos15');
QuarantineFile('C:\WINDOWS\System32\Drivers\Jos15.sys','');
DeleteService('Dim83');
QuarantineFile('C:\WINDOWS\System32\Drivers\Dim83.sys','');
DeleteService('msupdate');
QuarantineFile('c:\windows\system32\..\svchost.exe','');
QuarantineFile('C:\WINDOWS\System32\DRIVERS\smtpdrv.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\runtime2.sys','');
QuarantineFile('C:\WINDOWS\System32\drivers\runtime.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\Kos37.sys','');
QuarantineFile('C:\WINDOWS\Jos15.sys','');
QuarantineFile('C:\WINDOWS\system32\t0.dll','');
DeleteFile('C:\WINDOWS\system32\t0.dll');
DeleteFile('C:\WINDOWS\Jos15.sys');
DeleteFile('C:\WINDOWS\system32\Drivers\Kos37.sys');
DeleteFile('C:\WINDOWS\System32\drivers\runtime.sys');
DeleteFile('C:\WINDOWS\system32\drivers\runtime2.sys');
DeleteFile('C:\WINDOWS\System32\DRIVERS\smtpdrv.sys');
DeleteFile('c:\windows\system32\..\svchost.exe');
DeleteFile('C:\WINDOWS\System32\Drivers\Dim83.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Jos15.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Kos37.sys');
DeleteFile('smtpdrv.sys');
DeleteFile('C:\DOCUME~1\95E4~1\LOCALS~1\Temp\aaudstum.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\uyD72.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Wcg72.sys');
DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
DeleteFile('WinCtrl32.dll');
DeleteFile('kdkcy.exe');
DeleteFile('C:\Program Files\ShoppingReport\Bin\2.5.0\ShoppingReport.dll');
DeleteFile('C:\WINDOWS\system32\drivers\ctl_w32.sys');
DeleteFile('C:\WINDOWS\system32\drivers\Qvb72.sys');
DeleteFile('C:\WINDOWS\system32\WinData.cab');
DeleteFile('C:\WINDOWS\Temp\167375.exe');
DeleteFile('C:\WINDOWS\Temp\BN12.tmp');
DeleteFile('C:\WINDOWS\Temp\BN28.tmp');
DeleteFile('C:\WINDOWS\Temp\BN5.tmp');
DeleteFile('C:\WINDOWS\Temp\BN55.tmp');
DeleteFile('C:\WINDOWS\Temp\BN59.tmp');
DeleteFile('C:\WINDOWS\Temp\BN5B.tmp');
DeleteFile('C:\WINDOWS\Temp\BN5D.tmp');
DeleteFile('C:\WINDOWS\Temp\BN5F.tmp');
DeleteFile('C:\WINDOWS\Temp\BN6.tmp');
DeleteFile('C:\WINDOWS\Temp\BN61.tmp');
DeleteFile('C:\WINDOWS\Temp\BN66.tmp');
DeleteFile('C:\WINDOWS\Temp\BN7.tmp');
DeleteFile('C:\autorun.inf');
DeleteFile('D:\autorun.inf');
BC_ImportDeletedList;
ExecuteRepair(6);
ExecuteRepair(8);
AutoFixSPI;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
пришлите карантин согласно приложения 3 правил ...
повторите логи ..
-
-
Junior Member
- Вес репутации
- 58
Сообщение от
V_Bond
скачайте C:\WINDOWS\system32\Drivers\Kos37.sys ,C:\WINDOWS\Jos15.sys,C:\WINDOWS\system32\Drivers\ Dim83.sys- force delete
объясните пожалуйста еще раз, что делать с этими файлами?
-
-
-
Junior Member
- Вес репутации
- 58
простите, но можно ли сделать первый скрипт еше раз, т. е. все заново. Высылаю логи.
-
Выполнить:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys','');
DeleteService('tcpsr');
DeleteService('Kos37');
DeleteService('Jos15');
QuarantineFile('C:\WINDOWS\System32\Drivers\Dim83.sys','');
DeleteService('Dim83');
DeleteFile('C:\WINDOWS\System32\Drivers\Dim83.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Jos15.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Kos37.sys');
DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
BC_Importall;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Прислать карантин.
Сделать новые логи.
Добавлено через 48 секунд
Профиксить в HijackThis:
O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\
Последний раз редактировалось PavelA; 15.07.2008 в 10:57.
Причина: Добавлено
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 58
Сообщение от
PavelA
Профиксить в HijackThis:
O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\
А как это сделать?
-
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 58
Правильно ли я отправил карантин? Высылаю логи
-
выполните скрипт ....
Код:
begin
BC_DeleteSvc('Jws63');
BC_Activate;
RebootWindows(true);
end.
повторите логи начиная с пункта 10 правил ...
-
-
Junior Member
- Вес репутации
- 58
-
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
плохого ничего не видно ....
-
-
Junior Member
- Вес репутации
- 58
Да все ок, большое спасибо! Я вам очень благодарен!
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 5
- В ходе лечения вредоносные программы в карантинах не обнаружены
-