-
Junior Member
- Вес репутации
- 58
Странный рабочий стол или юморной (анти)вирус
Добрый день, Товарищи.
Возникла следующая ситуация:
Пришел в отдел, стоит компец: синий экран смерти на нем и уходит на циклическую перезагрузку, синие экраны каждый раз разные и такое чувство что вызываются искуственно, т.к. уже появляется синий экран приветствия и вылетает синенький экранчик. Загружаюсь в безопасном режиме, он работает, делаю скан антивирусом Panda. Находит один вирус, просит перезагрузку чтоб удалить, но все равно его не удаляет (system32\drivers\tswxeezs.dat). Он подцепился к системному процессу system. Думаю дай попробую загрузиться в обычном режиме, загрузился, работает, но есть непонятные вещи. На рабочем столе вместо привычной картинки появился белый экран со скрином сообщения типо ворнинг, денжер, спайвейр, вирус у тя, инсталь антивирь и удаляй, написал про два вот таких вируса (Win32/Adware.Virtumonde и Win32/PrivacyRemover.M64). Эту картинку изменить нельзя, из свойств рабочего стола пропали вкладки заставка и рабочий стол. Сейчас звонили, синие экраны опять пошли. Просканить систему я успел, логи прилагаю. Заранее благодарю за помощь.
Последний раз редактировалось Synthetic_God; 03.12.2009 в 09:13.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
На время выполнения скрипта, отключитесь от сети и отключите антивирусный монитор.
Программа AVZ - файл - выполнить скрипт - выполните следующий скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\userinit.exe','');
QuarantineFile('C:\WINDOWS\system32\blphccgnj0evu4.scr','');
QuarantineFile('C:\WINDOWS\system32\Drivers\tswxeezs.dat','');
QuarantineFile('C:\WINDOWS\system32\wstest.dll','');
QuarantineFile('C:\WINDOWS\system32\cmpbk3.dll','');
SetServiceStart('jochokyf', 4);
StopService('jochokyf');
DelBHO('{D38BBB32-B777-44D9-808D-2EE078C39343}');
BC_DeleteSvc('jochokyf');
DeleteFile('C:\WINDOWS\system32\cmpbk3.dll');
BC_DeleteFile('C:\WINDOWS\system32\cmpbk3.dll');
DeleteFile('C:\WINDOWS\system32\wstest.dll');
BC_DeleteFile('C:\WINDOWS\system32\wstest.dll');
DeleteFile('C:\WINDOWS\system32\Drivers\tswxeezs.dat');
BC_DeleteFile('C:\WINDOWS\system32\Drivers\tswxeezs.dat');
DeleteFile('C:\WINDOWS\system32\blphccgnj0evu4.scr');
BC_DeleteFile('C:\WINDOWS\system32\blphccgnj0evu4.scr');
BC_Activate;
ExecuteSysClean;
executerepair(1);
executerepair(5);
executerepair(6);
executerepair(8);
RebootWindows(true);
end.
После перезагрузки, карантин AVZ загрузите по ссылке http://virusinfo.info/upload_virus.php?tid=29460 , как написано в прил. 3 правил, и повторите логи.
-
-
Junior Member
- Вес репутации
- 58
карантин положил, логи прикрепил
уже полегчало, комп нормально грузанулся, рабочий стол поправился, спасибо большое =8-)
Последний раз редактировалось Synthetic_God; 10.12.2008 в 10:29.
-
выполните скрипт ...
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{D38BBB32-B777-44D9-808D-2EE078C39343}');
DeleteService('jochokyf');
QuarantineFile('C:\WINDOWS\system32\Drivers\tswxeezs.dat','');
QuarantineFile('C:\WINDOWS\system32\wstest.dll','');
QuarantineFile('C:\WINDOWS\system32\cmpbk3.dll','');
DeleteFile('C:\WINDOWS\system32\cmpbk3.dll');
DeleteFile('C:\WINDOWS\system32\wstest.dll');
DeleteFile('C:\WINDOWS\system32\Drivers\tswxeezs.dat');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
пришлите карантин согласно приложения 3 правил ...
повторите логи ...
-
-
Junior Member
- Вес репутации
- 58
Последний раз редактировалось Synthetic_God; 10.12.2008 в 10:29.
-
выполните пункт 2 правил ...
повторите логи ...
-
-
Junior Member
- Вес репутации
- 58
готово, удален один зловред
Последний раз редактировалось Synthetic_God; 10.12.2008 в 10:29.
-
выполните скрипт в безопасном режиме
Код:
begin
DeleteFile('C:\WINDOWS\system32\wstest.dll');
BC_DeleteFile('C:\WINDOWS\system32\wstest.dll');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
повторите логи
-
-
Junior Member
- Вес репутации
- 58
Последний раз редактировалось Synthetic_God; 10.12.2008 в 10:28.
-
Отключите интернет и антивирус,очистите временные папки,кеш браузера и выполните еще раз этот скрипт http://virusinfo.info/showpost.php?p=278621&postcount=8
-
-
Junior Member
- Вес репутации
- 58
не помогает, с помощью скрипта не удалось удалить этот файл, попробовал вручную. Посмотрела Unlocker'ом, его использует SVCHOST, разблокировать удалось, удалил, перезагрузился, он опять на своем месте
-
-
-
Junior Member
- Вес репутации
- 58
сделал, каспер сказал:
троянская программа Trojan.Win32.Agent.aceo Файл: C:\WINDOWS\system32\wstest.dll
но удалить так и не сумел, после перезагрузки он опять лежит на своем месте
-
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
- Выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\wstest.dll');
ExecuteSysClean;
BC_DeleteFile('C:\WINDOWS\system32\wstest.dll');
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
-
-
Junior Member
- Вес репутации
- 58
сделал, карантин отсутствует, логи прилагаю, файлец как лежал так и лежит
Последний раз редактировалось Synthetic_God; 10.12.2008 в 10:28.
-
Скачайте IceSword , поищите и скопируйте файл:
Код:
C:\WINDOWS\system32\wstest.dll
Скопированные с помощью IceSword файлы сохраните в карантине (Приложение 2 правил).
Потом удалите с помощью force delete
-
-
Junior Member
- Вес репутации
- 58
-
Сообщение от
Synthetic_God
готово
Повторите логи, плиз.
-
-
Junior Member
- Вес репутации
- 58
Последний раз редактировалось Synthetic_God; 10.12.2008 в 10:28.
-
c:\windows\system32\svchost.exe переименуйте в c:\windows\system32\svchost.bak,
тоже самое проделайте с c:\windows\system32\dllcache\svchost.exe
система будет ругаться требовать диск скажите что вас все устраивает ...
перегрузитеситесь выполните скрипт из поста 8 ... (естественно скрипт сохраните на машине до всех манипуляций )
svchost переименуйте обратно - перегрузитесь ... повторите логи ...
-