-
Junior Member
- Вес репутации
- 62
Помогите ПЛЗ cp1041.nls
Я читал на вашем сайте тему с той же проблемой, но она в архиве! Помогите мне убить заразу на наутбуке, не хочу переустанавливать винду. Стоит NOD32 с последними базами! AVZ тоже есть! Подскажите что сделать! C:\cp1041.nls - он постоянно появляется и нод его обнаруживает!
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
-
-
Junior Member
- Вес репутации
- 62
Сделал всё по инструкции описанной в правилах! Лог прикрепил. Жду помощи!
Последний раз редактировалось phonext; 06.05.2009 в 13:37.
-
Выполните в АВЗ код:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('\??\C:\WINDOWS\system32\windev-7e82-3f1a.sys','');
QuarantineFile('\??\C:\WINDOWS\system32\wincom32.sys','');
QuarantineFile('C:\WINDOWS\system32\vwjmmnapgdb.dll','');
QuarantineFile('c:\docume~1\phonex~1\locals~1\temp\winlogon.exe','');
QuarantineFile('C:\WINDOWS\system32\rpcc.dll','');
BC_DeleteFile('C:\WINDOWS\system32\rpcc.dll');
BC_DeleteFile('c:\docume~1\phonex~1\locals~1\temp\winlogon.exe');
BC_DeleteFile('C:\WINDOWS\system32\vwjmmnapgdb.dll');
BC_DeleteFile('\??\C:\WINDOWS\system32\wincom32.sys');
BC_DeleteFile('\??\C:\WINDOWS\system32\windev-7e82-3f1a.sys');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Пришлите карантин по правилам.
После выполнения скрипта у Вас может пропасть и-нет. Для восстановления скачайте утилиту для восстановления.
NDIS.sys у Вас пропатчен зловредом. Его нужно восстановить из дистрибутива.
После выполнения всего этого, сделайте новые логи
The worst foe lies within the self...
-
-
Вначале, скачайте утилиту http://www.tksinc.us/downloads/WinsockXPFix.exe - может пропасть интернет после выполнения скрипта. Далее, программа AVZ - файл - выполнить скрипт - выполните следующий скрипт:
Код:
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('appmgmts.dll','');
QuarantineFile('C:\WINDOWS\system32\rpcc.dll','');
QuarantineFile('\??\C:\WINDOWS\system32\windev-7e82-3f1a.sys','');
QuarantineFile('\??\C:\WINDOWS\system32\wincom32.sys','');
QuarantineFile('C:\WINDOWS\System32\WLTRYSVC.EXE','');
QuarantineFile('C:\WINDOWS\system32\vwjmmnapgdb.dll','');
QuarantineFile('c:\windows\system32\wltrysvc.exe','');
QuarantineFile('c:\windows\system32\wltray.exe','');
QuarantineFile('c:\windows\system32\bcmwltry.exe','');
DeleteFile('c:\docume~1\phonex~1\locals~1\temp\winlogon.exe');
DeleteFile('C:\WINDOWS\system32\vwjmmnapgdb.dll');
DeleteFile('C:\WINDOWS\system32\rpcc.dll');
DeleteFile('C:\DOCUME~1\PHONEX~1\LOCALS~1\Temp\svchots.exe');
DeleteFile('C:\DOCUME~1\PHONEX~1\LOCALS~1\Temp\winlogon.exe');
BC_DeleteSvc('wincom32');
BC_DeleteSvc('windev-7e82-3f1a');
BC_ImportDeletedList;
BC_Activate;
ExecuteSysClean;
AutoFixSPI;
RebootWindows(true);
end.
Система будет перезагружена. Если, после перезагрузки, пропадет интернет, попробуйте выполнить следующий скрипт:
Код:
begin
ExecuteRepair(14);
RebootWindows(true);
end.
Если и он не поможет - следующий скрипт:
Код:
begin
ExecuteRepair(15);
RebootWindows(true);
end.
Если интернет не восстановится, воспользуйтесь утилитой WinsockXPFix.exe.
В любом случае, после выполнения скриптов, загрузите содержимое карантина AVZ по ссылке http://virusinfo.info/upload_virus.php?tid=9694 и сделайте новые логи, начиная с п.10 правил.
-
-
Junior Member
- Вес репутации
- 62
Numb, сделал всё как Вы сказали!
Последний раз редактировалось phonext; 06.05.2009 в 13:37.
-
Выполните скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('NDIS.sys','');
QuarantineFile('C:\WINDOWS\system32\iconv.dll','');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.
Если что-то в карантин не добавиться, попробуйте добавить вручную по правилам. NDIS скорее всего патченый
Из присланного: windev-7e82-3f1a.sys и wincom32.sys вирус Packed.Win32.Tibs.w
По остальным жде вердикта ЛК.
Последний раз редактировалось Alex_Goodwin; 15.05.2007 в 19:15.
-
-
Junior Member
- Вес репутации
- 62
Закачал архив с файлами из карантина. И вот новые логи.
Последний раз редактировалось phonext; 06.05.2009 в 13:37.
-
Выполните скрипт:
Код:
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\vwjmmnapgdb.dll');
ExecuteSysClean;
BC_ImportDeletedList;
BC_Activate;
AutoFixSPI;
RebootWindows(true);
end.
Файл по ЛК Trojan.Win32.Agent.afg
Последний раз редактировалось Alex_Goodwin; 15.05.2007 в 20:02.
-
-
Junior Member
- Вес репутации
- 62
Последний раз редактировалось phonext; 06.05.2009 в 13:37.
-
Стало чище намного, но один подозреваемый в карантине не дошел. Программа AVZ - файл - выполнить скрипт - выполните следующий скрипт:
Код:
begin
ClearQuarantine;
QuarantineFile('C:\WINDOWS\system32\drivers\NDIS.sys','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.
Система будет перезагружена. После перезагрузки, загрузите содержимое карантина по ссылке http://virusinfo.info/upload_virus.php?tid=9694 . В программе hijackthis пофиксите строку
Код:
O20 - Winlogon Notify: rpcc - C:\WINDOWS\
-
-
Junior Member
- Вес репутации
- 62
Готово! Все таки NDIS.sys меня смущает!
Последний раз редактировалось phonext; 16.05.2007 в 20:45.
-
Не пришел он опять Попробуйте вручную скопировать файл ndis.sys ( по умолчанию он находится по пути: %SystemRoot%\system32\drivers\), заархивировать в архив с паролем virus и загрузить по ссылке http://virusinfo.info/upload_virus.php?tid=9694 . ВНИМАНИЕ: ФАЙЛ ndis.sys УДАЛЯТЬ НЕЛЬЗЯ! Просто скопируйте его.
-
-
Файл получился нулевого размера.
Выкладывать в тему нельзя - уберите!
По логам ndis.sys - это 100% зловред, кстати именно он создает C:\cp1041.nls. Надо заменить ndis.sys оригинальным файлом из дистрибутива. Сделать это можно с помощью консоли восстановления или загрузившись с какого-нибудь LiveCD. В крайнем случае подключить свой HDD к другому компьютеру. И cp1041.nls заодно удалить.
I am not young enough to know everything...
-
-
Как вариант, попробуйте заменить ndis.sys , как описано здесь: http://www.virusinfo.info/showpost.p...20&postcount=9
-
-
Junior Member
- Вес репутации
- 62
Запустил комп в безопастном режиме. Заменил ndis.sys на файл с другого компа. Прикрепил новые логи! Что дальше?
Последний раз редактировалось phonext; 06.05.2009 в 13:37.
-
Я больше ничего подозрительного не вижу. Дальше - смотреть, например, эту тему, разбираться с тем, где нашли такой зоопарк, и принимать меры к тому, чтобы повторного заражения не произошло.
-
-
Junior Member
- Вес репутации
- 62
Вроди бы все нормально! Установил все последние заплатки на винду. Спасибо огромное за помощь!
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 4
- Обработано файлов: 25
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\system32\\vwjmmnapgdb.dll - Trojan.Win32.Msnetax.n (DrWEB: Trojan.Vqten)
- c:\\windows\\system32\\wincom32.sys - Packed.Win32.Tibs.w (DrWEB: Trojan.Packed.115)
- c:\\windows\\system32\\windev-7e82-3f1a.sys - Packed.Win32.Tibs.w (DrWEB: Trojan.Packed.115)
-