Компьютер перезагружается при попытке загрузиться в безопасном режиме. в браузере недоступно virusinfo.info
Компьютер перезагружается при попытке загрузиться в безопасном режиме. в браузере недоступно virusinfo.info
Скачайте IceSword , поищите и скопируйте файлы:
Скопированные с помощью IceSword файлы сохраните в карантине ..avz\quarantine\<<YYYY-MM-DD>>Код:C:\WINDOWS\system32\WlCtrl32.dll C:\WINDOWS\system32\WlCtrl32.dl_ C:\WINDOWS\system32\WlCtrl32.bak C:\WINDOWS\system32\drivers\Kqv27.sys
Потом удалите их с помощью force delete
Если Вы какие-то файлы не обнаружите - переходите к следующему шагу.
Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
- Выполните скрипт
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); StopService('WZCSVCdmserver'); StopService('wuauservwinmgmt'); StopService('wscsvcCiSvc'); StopService('WmiTlntSvr'); StopService('WmiApSrvSharedAccessDcomLaunch'); StopService('WmiApSrvSharedAccess'); StopService('WmdmPmSNNetlogon'); StopService('Winwd28'); StopService('Winvc17'); StopService('Winta85'); StopService('Winqv52'); StopService('Winou30'); StopService('Winou27'); StopService('Winjp52'); StopService('Wingm52'); StopService('Wingm41'); StopService('Windj41'); StopService('Wek41'); StopService('W32TimehelpsvcUPS'); StopService('W32Timehelpsvc'); StopService('Vel42'); StopService('upnphostWebClient'); StopService('upnphostDhcp'); StopService('upnphostBITS'); StopService('TrkWksxmlprov'); StopService('TrkWksNVSvcNetDDEERSvcupnphost'); StopService('TrkWksNVSvcNetDDE'); StopService('Themesdmserver'); StopService('TermServiceMSDTC'); StopService('tcpsr'); StopService('SysmonLogWmdmPmSNNetlogon'); StopService('SSDPSRVSSDPSRV'); StopService('srserviceW32TimehelpsvcUPS'); StopService('srserviceAlerterTlntSvr'); StopService('SharedAccessDcomLaunch'); StopService('SENSwinmgmt'); StopService('ScheduleWmiBrowserWmiApSrvSharedAccessDcomLaunch'); StopService('ScheduleWmi'); StopService('Ryf06'); StopService('RpcLocatorCryptSvc'); StopService('RasManDcomLaunch'); StopService('r_serverScheduleWmilanmanworkstationSSDPSRV'); StopService('r_serverScheduleWmi'); StopService('Qwd85'); StopService('ProtectedStorageSharedAccess'); StopService('ProtectedStorageNVSvcNetDDEdsdm'); StopService('NVSvcRpcLocator'); StopService('NVSvcNetDDEdsdmseclogon'); StopService('NVSvcNetDDEdsdmPolicyAgent'); StopService('NVSvcNetDDEdsdm'); StopService('NVSvcNetDDE'); StopService('Nub17'); StopService('NtLmSspSENSwinmgmt'); StopService('Netmanwuauserv'); StopService('NetlogonwscsvcCiSvc'); StopService('Msy74'); StopService('MSIServerW32Time'); StopService('MSDTCEventlog'); StopService('mnmsrvcERSvcupnphost'); StopService('Messengersrservice'); StopService('lrX85'); StopService('lanmanworkstationWmiTlntSvrEventSystemCiSvc'); StopService('lanmanworkstationWmiTlntSvr'); StopService('lanmanworkstationSSDPSRV'); StopService('lanmanworkstationRDSessMgr'); StopService('lanmanworkstationDhcpCiSvc'); StopService('lanmanserverHidServRSVP'); StopService('lanmanserverHidServ'); StopService('Kqw41'); StopService('Kqv27'); StopService('ImapiServicewuauservwinmgmt'); StopService('FastUserSwitchingCompatibilityFastUserSwitchingCompatibility'); StopService('EventSystemCiSvc'); StopService('EventlogTrkWks'); StopService('EventlogClipSrvdmadminThemesdmserver'); StopService('ERSvcupnphostupnphost'); StopService('ERSvcupnphost'); StopService('ERSvcNVSvcNetDDEdsdm'); StopService('DnscacheNetDDEdsdm'); StopService('dmadminNetDDE'); StopService('djP52'); StopService('Dhcpwinmgmtwuauserv'); StopService('Dhcpwinmgmt'); StopService('DhcpCiSvc'); StopService('ClipSrvRasAutoHidServ'); StopService('ClipSrvRasAuto'); StopService('ClipSrvdmadminThemesdmserver'); StopService('ClipSrvdmadmin'); StopService('CiSvcWmdmPmSN'); StopService('BrowserWmiApSrvSharedAccessDcomLaunchEventSystemCiSvc'); StopService('BrowserWmiApSrvSharedAccessDcomLaunch'); StopService('AudioSrvVSS'); StopService('AlerterTlntSvr'); StopService('Ahn63'); QuarantineFile('WLCtrl32.dll',''); QuarantineFile('C:\WINDOWS\system32\WlCtrl32.dll',''); QuarantineFile('C:\WINDOWS\system32\win2pdfm.dll',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winwd28.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winvc17.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winta85.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winqv52.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winou30.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winou27.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winjp52.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Wingm52.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Wingm41.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Windj41.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Wek41.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Vel42.sys',''); QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Ryf06.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Nub17.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Msy74.sys',''); QuarantineFile('C:\WINDOWS\system32\drivers\Kqv27.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\djP52.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Ahn63.sys',''); DeleteService('WZCSVCdmserver'); DeleteService('wuauservwinmgmt'); DeleteService('wscsvcCiSvc'); DeleteService('WmiTlntSvr'); DeleteService('WmiApSrvSharedAccessDcomLaunch'); DeleteService('WmiApSrvSharedAccess'); DeleteService('WmdmPmSNNetlogon'); DeleteService('Winwd28'); DeleteService('Winvc17'); DeleteService('Winta85'); DeleteService('Winqv52'); DeleteService('Winou30'); DeleteService('Winou27'); DeleteService('Winjp52'); DeleteService('Wingm52'); DeleteService('Wingm41'); DeleteService('Windj41'); DeleteService('Wek41'); DeleteService('W32TimehelpsvcUPS'); DeleteService('W32Timehelpsvc'); DeleteService('Vel42'); DeleteService('upnphostWebClient'); DeleteService('upnphostDhcp'); DeleteService('upnphostBITS'); DeleteService('TrkWksxmlprov'); DeleteService('TrkWksNVSvcNetDDEERSvcupnphost'); DeleteService('TrkWksNVSvcNetDDE'); DeleteService('Themesdmserver'); DeleteService('TermServiceMSDTC'); DeleteService('tcpsr'); DeleteService('SysmonLogWmdmPmSNNetlogon'); DeleteService('SSDPSRVSSDPSRV'); DeleteService('srserviceW32TimehelpsvcUPS'); DeleteService('srserviceAlerterTlntSvr'); DeleteService('SharedAccessDcomLaunch'); DeleteService('SENSwinmgmt'); DeleteService('ScheduleWmiBrowserWmiApSrvSharedAccessDcomLaunch'); DeleteService('ScheduleWmi'); DeleteService('Ryf06'); DeleteService('RpcLocatorCryptSvc'); DeleteService('RasManDcomLaunch'); DeleteService('r_serverScheduleWmilanmanworkstationSSDPSRV'); DeleteService('r_serverScheduleWmi'); DeleteService('Qwd85'); DeleteService('ProtectedStorageSharedAccess'); DeleteService('ProtectedStorageNVSvcNetDDEdsdm'); DeleteService('NVSvcRpcLocator'); DeleteService('NVSvcNetDDEdsdmseclogon'); DeleteService('NVSvcNetDDEdsdmPolicyAgent'); DeleteService('NVSvcNetDDEdsdm'); DeleteService('NVSvcNetDDE'); DeleteService('Nub17'); DeleteService('NtLmSspSENSwinmgmt'); DeleteService('Netmanwuauserv'); DeleteService('NetlogonwscsvcCiSvc'); DeleteService('Msy74'); DeleteService('MSIServerW32Time'); DeleteService('MSDTCEventlog'); DeleteService('mnmsrvcERSvcupnphost'); DeleteService('Messengersrservice'); DeleteService('lrX85'); DeleteService('lanmanworkstationWmiTlntSvrEventSystemCiSvc'); DeleteService('lanmanworkstationWmiTlntSvr'); DeleteService('lanmanworkstationSSDPSRV'); DeleteService('lanmanworkstationRDSessMgr'); DeleteService('lanmanworkstationDhcpCiSvc'); DeleteService('lanmanserverHidServRSVP'); DeleteService('lanmanserverHidServ'); DeleteService('Kqw41'); DeleteService('Kqv27'); DeleteService('ImapiServicewuauservwinmgmt'); DeleteService('FastUserSwitchingCompatibilityFastUserSwitchingCompatibility'); DeleteService('EventSystemCiSvc'); DeleteService('EventlogTrkWks'); DeleteService('EventlogClipSrvdmadminThemesdmserver'); DeleteService('ERSvcupnphostupnphost'); DeleteService('ERSvcupnphost'); DeleteService('ERSvcNVSvcNetDDEdsdm'); DeleteService('DnscacheNetDDEdsdm'); DeleteService('dmadminNetDDE'); DeleteService('djP52'); DeleteService('Dhcpwinmgmtwuauserv'); DeleteService('Dhcpwinmgmt'); DeleteService('DhcpCiSvc'); DeleteService('ClipSrvRasAutoHidServ'); DeleteService('ClipSrvRasAuto'); DeleteService('ClipSrvdmadminThemesdmserver'); DeleteService('ClipSrvdmadmin'); DeleteService('CiSvcWmdmPmSN'); DeleteService('BrowserWmiApSrvSharedAccessDcomLaunchEventSystemCiSvc'); DeleteService('BrowserWmiApSrvSharedAccessDcomLaunch'); DeleteService('AudioSrvVSS'); DeleteService('AlerterTlntSvr'); DeleteService('Ahn63'); DeleteFile('WLCtrl32.dll'); DeleteFile('C:\WINDOWS\system32\WlCtrl32.dll'); DeleteFile('C:\WINDOWS\System32\Drivers\Winwd28.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winvc17.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winta85.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winqv52.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winou30.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winou27.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winjp52.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Wingm52.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Wingm41.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Windj41.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Wek41.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Vel42.sys'); DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Ryf06.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Qwd85.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Nub17.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Msy74.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\lrX85.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Kqw41.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Kqv27.sys'); DeleteFile('C:\WINDOWS\system32\drivers\Kqv27.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\djP52.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Ahn63.sys'); BC_ImportAll; ExecuteSysClean; BC_DeleteSvc('WZCSVCdmserver'); BC_DeleteSvc('wuauservwinmgmt'); BC_DeleteSvc('wscsvcCiSvc'); BC_DeleteSvc('WmiTlntSvr'); BC_DeleteSvc('WmiApSrvSharedAccessDcomLaunch'); BC_DeleteSvc('WmiApSrvSharedAccess'); BC_DeleteSvc('WmdmPmSNNetlogon'); BC_DeleteSvc('Winwd28'); BC_DeleteSvc('Winvc17'); BC_DeleteSvc('Winta85'); BC_DeleteSvc('Winqv52'); BC_DeleteSvc('Winou30'); BC_DeleteSvc('Winou27'); BC_DeleteSvc('Winjp52'); BC_DeleteSvc('Wingm52'); BC_DeleteSvc('Wingm41'); BC_DeleteSvc('Windj41'); BC_DeleteSvc('Wek41'); BC_DeleteSvc('W32TimehelpsvcUPS'); BC_DeleteSvc('W32Timehelpsvc'); BC_DeleteSvc('Vel42'); BC_DeleteSvc('upnphostWebClient'); BC_DeleteSvc('upnphostDhcp'); BC_DeleteSvc('upnphostBITS'); BC_DeleteSvc('TrkWksxmlprov'); BC_DeleteSvc('TrkWksNVSvcNetDDEERSvcupnphost'); BC_DeleteSvc('TrkWksNVSvcNetDDE'); BC_DeleteSvc('Themesdmserver'); BC_DeleteSvc('TermServiceMSDTC'); BC_DeleteSvc('tcpsr'); BC_DeleteSvc('SysmonLogWmdmPmSNNetlogon'); BC_DeleteSvc('SSDPSRVSSDPSRV'); BC_DeleteSvc('srserviceW32TimehelpsvcUPS'); BC_DeleteSvc('srserviceAlerterTlntSvr'); BC_DeleteSvc('SharedAccessDcomLaunch'); BC_DeleteSvc('SENSwinmgmt'); BC_DeleteSvc('ScheduleWmiBrowserWmiApSrvSharedAccessDcomLaunch'); BC_DeleteSvc('ScheduleWmi'); BC_DeleteSvc('Ryf06'); BC_DeleteSvc('RpcLocatorCryptSvc'); BC_DeleteSvc('RasManDcomLaunch'); BC_DeleteSvc('r_serverScheduleWmilanmanworkstationSSDPSRV'); BC_DeleteSvc('r_serverScheduleWmi'); BC_DeleteSvc('Qwd85'); BC_DeleteSvc('ProtectedStorageSharedAccess'); BC_DeleteSvc('ProtectedStorageNVSvcNetDDEdsdm'); BC_DeleteSvc('NVSvcRpcLocator'); BC_DeleteSvc('NVSvcNetDDEdsdmseclogon'); BC_DeleteSvc('NVSvcNetDDEdsdmPolicyAgent'); BC_DeleteSvc('NVSvcNetDDEdsdm'); BC_DeleteSvc('NVSvcNetDDE'); BC_DeleteSvc('Nub17'); BC_DeleteSvc('NtLmSspSENSwinmgmt'); BC_DeleteSvc('Netmanwuauserv'); BC_DeleteSvc('NetlogonwscsvcCiSvc'); BC_DeleteSvc('Msy74'); BC_DeleteSvc('MSIServerW32Time'); BC_DeleteSvc('MSDTCEventlog'); BC_DeleteSvc('mnmsrvcERSvcupnphost'); BC_DeleteSvc('Messengersrservice'); BC_DeleteSvc('lrX85'); BC_DeleteSvc('lanmanworkstationWmiTlntSvrEventSystemCiSvc'); BC_DeleteSvc('lanmanworkstationWmiTlntSvr'); BC_DeleteSvc('lanmanworkstationSSDPSRV'); BC_DeleteSvc('lanmanworkstationRDSessMgr'); BC_DeleteSvc('lanmanworkstationDhcpCiSvc'); BC_DeleteSvc('lanmanserverHidServRSVP'); BC_DeleteSvc('lanmanserverHidServ'); BC_DeleteSvc('Kqw41'); BC_DeleteSvc('Kqv27'); BC_DeleteSvc('ImapiServicewuauservwinmgmt'); BC_DeleteSvc('FastUserSwitchingCompatibilityFastUserSwitchingCompatibility'); BC_DeleteSvc('EventSystemCiSvc'); BC_DeleteSvc('EventlogTrkWks'); BC_DeleteSvc('EventlogClipSrvdmadminThemesdmserver'); BC_DeleteSvc('ERSvcupnphostupnphost'); BC_DeleteSvc('ERSvcupnphost'); BC_DeleteSvc('ERSvcNVSvcNetDDEdsdm'); BC_DeleteSvc('DnscacheNetDDEdsdm'); BC_DeleteSvc('dmadminNetDDE'); BC_DeleteSvc('djP52'); BC_DeleteSvc('Dhcpwinmgmtwuauserv'); BC_DeleteSvc('Dhcpwinmgmt'); BC_DeleteSvc('DhcpCiSvc'); BC_DeleteSvc('ClipSrvRasAutoHidServ'); BC_DeleteSvc('ClipSrvRasAuto'); BC_DeleteSvc('ClipSrvdmadminThemesdmserver'); BC_DeleteSvc('ClipSrvdmadmin'); BC_DeleteSvc('CiSvcWmdmPmSN'); BC_DeleteSvc('BrowserWmiApSrvSharedAccessDcomLaunchEventSystemCiSvc'); BC_DeleteSvc('BrowserWmiApSrvSharedAccessDcomLaunch'); BC_DeleteSvc('AudioSrvVSS'); BC_DeleteSvc('AlerterTlntSvr'); BC_DeleteSvc('Ahn63'); BC_Activate; RebootWindows(true); end.
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи
- Включите Антвирус и ФайрволлКод:virusinfo_syscure.zip virusinfo_syscheck.zip hijackthis.log
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
Нашел и удалил один файл: C:\WINDOWS\system32\WlCtrl32.dll. По запарке забыл его скопировать. Это очень критично? Далее выполнил все пункты
-Пофиксите
Сейчас грузится в безопасном режиме?Код:O20 - Winlogon Notify: WLCtrl32 - C:\WINDOWS\
Обновите Адоби Ридер и установите Internet Explorer 7 - даже если Вы им не пользуетесь.
Пофиксил. Нет, не грузится в безопасном режиме.
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Попробуйте загрузиться в Safe-Mode...Код:begin ExecuteRepair(10); RebootWindows(true); end.
Нет, не грузится в Safe-Mode. Может причина не в malware?
Скачайте Gmer. Запустите программу. После автоматической экспресс-проверки, отметьте галочкой все жесткие диски и нажмите на кнопку "Scan". После окончания проверки сохраните его лог (нажмите на кнопку Save) под каким хотите именем, например Gmer.log и прикрепите лог сюда.
Никаких особых требований к условиям запуска\работы программы? Ничего не надо выгружать? может пользователь работать во время выполнения Gmer?
Не можете подсказать приблизительное среднее время выполнения?
Так же лишнее выгрузить, желательно не работать...
Окно программы появляется на краткий момент, после чего пропадает, больше никаких результатов. Видимо выгружается.
Такой лог сделайте http://virusinfo.info/showthread.php?t=40120
Так проверьтесь
http://www.kaspersky.ru/support/wks6...?qid=208636215
действительно кидо. пока борюсь с ним. не знал что отсутствие безопасного режима - это кидо. пока что эта утилита не справляется сним - после перезагрузки опять обнаруживается. вроде все заплатки установил. завтра буду продолжать.
Все заплатки стоят, но kidokiller v3.3.3 не может его убить. нет еще вариантов?
Закройте все программы.
Запустите AVZ.
Выполните скрипт через меню Файл:
Компьютер перезагрузится.Код:begin SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\tkypvun.dll',''); DeleteFile('C:\WINDOWS\system32\tkypvun.dll'); ExecuteRepair(10); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Пришлите файлы из карантина AVZ (см. приложение 3 Правил) используя ссылку Прислать запрошенный карантин верху этой темы.
Обновите базы AVZ.
Сделайте новый лог из пункта 1 Диагностики и приложите к этой теме.
Установите Adobe Acrobat Reader 9.1 или удалите старый.
Все сделал.
Файл сохранён как 090320_122234_2009-03-20_49c3605a78095.zip
Размер файла 78786
MD5 8f28d8b3d42f2c2d1fd62fe4712252d8
Последний раз редактировалось barmaleus; 20.03.2009 в 12:57.
Пароль нужен крепкий на учетку поставить.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
C:\WINDOWS\system32\tkypvun.dll = Trojan-Downloader.Win32.Kido.a
В логе чисто.
В Безопасном режиме загружается?
ПРоблемы есть?
Файл virusinfo_cure.zip из темы уберите.
Уважаемый(ая) barmaleus, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.