Не стартовала система из за вирусов

[billyg]

Не запускалась винда (SP SP1) в нормальном режиме, запустилась после скрипта AVZ сбора/лечения...

[drongo]

Такую систему бесполезно лечить, так как через некоторое время подключения к и интернету будет полная коллекция зверейНужно обновлять по полной программе.

сделайте следующее :

AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\System32\x2f4fr.dll','');
 QuarantineFile('C:\WINDOWS\System32\winwgzje.exe','');
 QuarantineFile('C:\WINDOWS\System32\a3dxx.dll','');
 QuarantineFile('C:\DOCUME~1\07C4~1\LOCALS~1\Temp\winlogon.exe','');
 QuarantineFile('C:\DOCUME~1\07C4~1\LOCALS~1\Temp\svchots.exe','');
 QuarantineFile('C:\DOCUME~1\07C4~1\LOCALS~1\Temp\146.exe','');
 QuarantineFile('Tpkd.sys','');
 QuarantineFile('C:\WINDOWS\System32\gczz.dll','');
 QuarantineFile('C:\Documents and Settings\All Users\Документы\Settings\winsys2f.dll','');
 BC_ImportALL;
 BC_LogFile(GetAVZDirectory + 'boot_copy.log');
 BC_Activate;
RebootWindows(true);
end.

Прислать весь карантин согласно приложения 3 правил .
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=9442........


P.s. вы антивирусом сканировали ? что-то не видно

[Макcим]

Настройки прокси-сервера Вы сами прописывали?

[billyg]

Выполнил скрипт, в процессе перезагрузки система повисла, ребунтнул резетом, при старте написала ошибку (приложение что-то там наделало и было заветрешено - отправить отчёт или нет kernel32.exe). Накатил сп2, почитстил автозагрузку, сообщение пропало...Сканировал до этого МНОГО раз, что толку терять ещё 2-3 часа на бесполезный скан ? Сейчас проверки и скрипт повотрю, вышлю логи и карантин. Прокси моя.

[billyg]

Закачал карантин, высылаю логи ..злобная длл-ка не удалилась =(

[drongo]

насчёт загруженного , хороший набор по касперскому :

Заражен: троянская программа Trojan-Proxy.Win32.Xorpix.ba =bcqr00019.dat 14.5 КБ
Заражен: троянская программа Trojan-Proxy.Win32.Xorpix.ba =bcqr00018.dat 14.5 КБ
Заражен: троянская программа Backdoor.Win32.Agent.adr =bcqr00017.dat 166 КБ
Заражен: троянская программа Backdoor.Win32.Agent.adr =bcqr00016.dat 166 КБ
Заражен: троянская программа Trojan-Proxy.Win32.Xorpix.m =bcqr00006.dat 9.8 КБ
Заражен: троянская программа Trojan-Proxy.Win32.Xorpix.m =bcqr00005.dat 9.8 КБ
Заражен: троянская программа Backdoor.Win32.SdBot.bce =bcqr00004.dat 89.4 КБ
Заражен: троянская программа Backdoor.Win32.SdBot.bce =bcqr00003.dat 89.4 КБ
Заражен: троянская программа Trojan-Proxy.Win32.Xorpix.ba =avz00010.dta 14.5 КБ
Заражен: троянская программа Backdoor.Win32.Agent.adr =avz00009.dta 166 КБ
Заражен: троянская программа Backdoor.Win32.SdBot.bce =avz00007.dta 89.4 КБ
Заражен: вирус Email-Worm.Win32.Zhelatin.dp =avz00006.dta 9.8 КБ
Заражен: вирус Email-Worm.Win32.Zhelatin.dp =avz00005.dta 9.8 КБ
Заражен: троянская программа Trojan-Proxy.Win32.Xorpix.m =avz00004.dta 9.8 КБ
Заражен: вирус Email-Worm.Win32.Zhelatin.dp =avz00003.dta 9.8 КБ
Заражен: троянская программа Trojan.Win32.Qhost.it =avz00002.dta 208 КБ
Заражен: троянская программа Trojan.Win32.Qhost.it = avz00001.dta 208 КБ


AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ClearQuarantine();
 QuarantineFile('C:\WINDOWS\System32\x2f4fr.dll','');
 QuarantineFile('C:\WINDOWS\System32\windev-1c6b-233a.sys','');
 QuarantineFile('C:\WINDOWS\System32\wincom32.sys','');
 QuarantineFile('C:\Documents and Settings\All Users\Документы\Settings\winsys2f.dll','');
 BC_DeleteFile('C:\Documents and Settings\All Users\Документы\Settings\winsys2f.dll');
 BC_DeleteFile('C:\WINDOWS\System32\gczz.dll');
 BC_DeleteFile('C:\WINDOWS\System32\x2f4fr.dll');
 BC_DeleteFile('C:\Documents and Settings\All Users\Документы\Settings\winsys2f.dll');
BC_ImportQuarantineList;
BC_LogFile(GetAVZDirectory + 'boot_clr.log'); 
BC_Activate; 
ExecuteSysClean;
ClearHostsFile;
RebootWindows(false);
end.

Прислать новый карантин согласно приложения 3 правил .
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=9442........

[Bratez]

Да, большая коллекция! Вот еще в догонку:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\System32\svshost.dll','');
DeleteFile('C:\WINDOWS\system32\a3dxx.dll');
DeleteFile('C:\WINDOWS\System32\winwgzje.exe');
DeleteFile('C:\xx1232255.exe');
DeleteFile('C:\WINDOWS\system32\kernels32.exe');
DeleteFile('C:\Documents and Settings\Алексей\Local Settings\Temporary Internet Files\Content.IE5\OJEL8JCR\win32[1].exe');
DeleteFile('C:\Documents and Settings\Алексей\Local Settings\Temporary Internet Files\Content.IE5\OJEL8JCR\60787[1].exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Выполните, а потом уже грузите свежий карантин

P.S. А восстановление системы не забыли отключить?

[billyg]

Всё выполнил, залил свежий карантин, восстановление отключено давно уже =)

[Макcим]

Повторите логи

[Bratez]

Выполните скрипт:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteFile('C:\WINDOWS\System32\windev-1c6b-233a.sys');
 DeleteFile('C:\WINDOWS\System32\wincom32.sys');
 DeleteFile('C:\WINDOWS\System32\svshost.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

а потом уже и логи

[billyg]

стандартный №3 уже выполнялся (он 1.5-2 часа выполняется), после выполнил

Выполните скрипт:

Код:
beginSearchRootkit(true, true);SetAVZGuardStatus(True); DeleteFile('C:\WINDOWS\System32\windev-1c6b-233a.sys'); DeleteFile('C:\WINDOWS\System32\wincom32.sys'); DeleteFile('C:\WINDOWS\System32\svshost.dll');BC_I mportDeletedList;ExecuteSysClean;BC_Activate;Reboo tWindows(true);end.

потом сделал Стандартный №2 логи скидываю, ещё 1 архив с заражённым залил куда обычно

[Bratez]

архив с заражённым залил

Больше ж ничего не карантинили...
Лог HijackThis еще прикрепите пожалуйста.

[drongo]

То ли логи старые загрузили , то ли не хотят они удаляться . Давайте вот этот скрипт :

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteFile('\??\C:\WINDOWS\System32\wincom32.sys');
 DeleteFile('\??\C:\WINDOWS\System32\windev-1c6b-233a.sys');
 DeleteFile('C:\Documents and Settings\All Users\Документы\Settings\winsys2f.dll');
 DeleteFile('C:\WINDOWS\System32\gczz.dll');
 DeleteFile('C:\WINDOWS\System32\x2f4fr.dll');
 BC_DeleteFile('C:\WINDOWS\System32\x2f4fr.dll');
 BC_DeleteFile('C:\Documents and Settings\All Users\Документы\Settings\winsys2f.dll');
 BC_DeleteFile('C:\WINDOWS\System32\gczz.dll');
 BC_DeleteFile('\??\C:\WINDOWS\System32\wincom32.sys');
 BC_DeleteFile('\??\C:\WINDOWS\System32\windev-1c6b-233a.sys');
BC_Activate;
ExecuteSysClean;
RebootWindows(false);
end.

[Макcим]

Можно попробовать удалить из Safe Mode

[billyg]

Выполнил вышеупомянутый скрипт в безопасном. Скидываю новые логи.

[Bratez]

Теперь все чисто. Только пофиксите в HijackThis:

Код:

O2 - BHO: C:\WINDOWS\System32\x2f4fr.dll - {8D5849C4-93F3-429D-FF34-260A2068897C} - C:\WINDOWS\System32\x2f4fr.dll (file missing)
O20 - Winlogon Notify: A3dxq - C:\WINDOWS\
O20 - Winlogon Notify: reset5 - C:\WINDOWS\SYSTEM32\reset5.dll
O20 - Winlogon Notify: winsys2freg - C:\WINDOWS\
O23 - Service: Reset 5 - Unknown owner - C:\WINDOWS\system32\srvany.exe (file missing)