Перейти к содержанию
СофтФорум - всё о компьютерах и не только

Winnt32.dll и иже с ним... Помогите.


Рекомендуемые сообщения

Всем доброго дня!

Вторые сутки всеми правдами и неправдами пытаюсь вылечить машинку у друга, которая поймала парочку бацилл с "вконтакте дот ру". Выражаются эти бациллы в бесконтрольной спамовой рассылки с машины и убийством у всех пользователей в свойствах экрана закладки "Рабочий стол" и "Заставка" :) . Ну, тут я понял, картинка рабочего стола и заставка замещаются двумя соотв файлами , которые генерачатся в system32 каким-то ехешником. Долго читал эту ветку в форуме, уже даже попытался собственные скрипты для АВЗ сделать, но безрезультатно. Прошу о помощи. Логи в атт. Спасибо.

P.S. АВЗ ношу с собой на флешке. Факт, на всех машинах АВЗ русский, а на этой какого-то английский! вчём дело?

hijackthis.log

virusinfo_syscure.zip

hijackthis.log

virusinfo_syscure.zip

Ссылка на комментарий
Поделиться на другие сайты

Cure.zip из сообщения убери, это архив с вирусом. Прикрепить нужно другой архив.

Проверку системного диска CureIt в безопасном режиме ты пропустил наверное.

Скачай IceSword

Слева внизу найди меню File, в нем найди следующие файлы и удали по правой кнопке Force Delete.

C:\WINDOWS\system32\WinNt32.dllC:\WINDOWS\system32\tcpsr.sysC:\WINDOWS\System32\Drivers\Winmk71.sysC:\WINDOWS\System32\Drivers\Loj84.sysC:\WINDOWS\System32\Drivers\duD52.sysC:\WINDOWS\System32\Drivers\Ctc61.sysC:\WINDOWS\system32\srxats32.dll

Не перегружаясь в HijackThis отметь строки и нажми fix checked.

O2 - BHO: LsVpd - {0734AD78-25B9-45D2-949C-ED138915BF22} - C:\WINDOWS\system32\lslibs.dllO20 - Winlogon Notify: srxats - C:\WINDOWS\SYSTEM32\srxats32.dll

Не перегружаясь в AVZ меню Файл--Выполнить скрипт. Скопируй код и нажми "Запустить".

beginSetAVZGuardStatus(True);SearchRootkit(true, true);QuarantineFile('C:\WINDOWS\Temp\BNC.tmp','');QuarantineFile('C:\WINDOWS\Temp\BN2.tmp','');QuarantineFile('C:\WINDOWS\Temp\BN12.tmp','');QuarantineFile('C:\WINDOWS\Temp\BN1.tmp','');QuarantineFile('C:\WINDOWS\system32\WinNt32.dll','');QuarantineFile('C:\WINDOWS\system32\Drivers\Ctc61.sys','');QuarantineFile('C:\WINDOWS\system32\Drivers\Xsd36.sys','');QuarantineFile('C:\WINDOWS\system32\srxats.dll','');QuarantineFile('C:\WINDOWS\system32\srxats32.dll','');QuarantineFile('C:\WINDOWS\TEMP\nepE.tmp','');QuarantineFile('c:\windows\temp\nepe.tmp','');QuarantineFile('C:\WINDOWS\system32\lslibs.dll','');QuarantineFile('C:\WINDOWS\system32\sysrest32.exe','');QuarantineFile('C:\WINDOWS\system32\blphcgj3j0e9vu.scr','');QuarantineFile('C:\WINDOWS\system32\lphcgj3j0e9vu.exe','');QuarantineFile('C:\WINDOWS\System32\Drivers\Ctc61.sys','');QuarantineFile('C:\WINDOWS\System32\Drivers\duD52.sys','');QuarantineFile('C:\WINDOWS\System32\Drivers\Loj84.sys','');QuarantineFile('C:\WINDOWS\System32\Drivers\Winmk71.sys','');QuarantineFile('C:\WINDOWS\system32\sysrest.sys','');QuarantineFile('tcpsr.sys','');SetServiceStart('Winmk71', 4);SetServiceStart('Ctc61', 4);SetServiceStart('tcpsr', 4);SetServiceStart('sysrest.sys', 4);SetServiceStart('duD52', 4);SetServiceStart('Loj84', 4);DeleteService('tcpsr');DeleteService('sysrest.sys');DeleteService('Loj84');DeleteService('duD52');DeleteService('Ctc61');DeleteService('Winmk71');TerminateProcessByName('C:\WINDOWS\system32\lphcgj3j0e9vu.exe');DelBHO('{0734AD78-25B9-45D2-949C-ED138915BF22}');DeleteFile('C:\Documents and Settings\Victoria\Local Settings\Temp\~DFFB8B.tmp');DeleteFile('C:\Documents and Settings\Victoria\Local Settings\Temp\~DFFB11.tmp');DeleteFile('C:\WINDOWS\TEMP\nepE.tmp');DeleteFile('C:\WINDOWS\system32\srxats32.dll');DeleteFile('C:\WINDOWS\system32\srxats.dll');DeleteFile('C:\WINDOWS\system32\Drivers\Xsd36.sys');DeleteFile('C:\WINDOWS\system32\Drivers\Ctc61.sys');DeleteFile('C:\WINDOWS\System32\Drivers\Ctc61.sys');DeleteFile('C:\WINDOWS\System32\Drivers\duD52.sys');DeleteFile('C:\WINDOWS\System32\Drivers\Loj84.sys');DeleteFile('C:\WINDOWS\system32\sysrest.sys');DeleteFile('tcpsr.sys');DeleteFile('C:\WINDOWS\System32\Drivers\Winmk71.sys');DeleteFile('C:\WINDOWS\system32\lphcgj3j0e9vu.exe');DeleteFile('C:\WINDOWS\system32\blphcgj3j0e9vu.scr');DeleteFile('C:\WINDOWS\system32\sysrest32.exe');DeleteFile('C:\WINDOWS\system32\lslibs.dll');DeleteFile('C:\WINDOWS\system32\WinNt32.dll');DeleteFile('C:\WINDOWS\Temp\BN1.tmp');DeleteFile('C:\WINDOWS\Temp\BN12.tmp');DeleteFile('C:\WINDOWS\Temp\BN2.tmp');DeleteFile('C:\WINDOWS\Temp\BNC.tmp');BC_ImportAll;ExecuteSysClean;ExecuteRepair(5);ExecuteRepair(6);ExecuteRepair(10);BC_Activate;RebootWindows(true);end.

Компьютер перезагрузится.

После перезрузки выполни еще скрипт.

beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end.

И вышли получившийся карантин мне в PM.

Повтори все логи.

З.Ы. Это ужас что делают с компами пользователей вирусописатели.

Изменено пользователем ser208
Ссылка на комментарий
Поделиться на другие сайты

Ser208, большое спасибо! Сегодня вечером после работы попробую, надеюсь на положительный результат. отпишу.

Ссылка на комментарий
Поделиться на другие сайты

Выполнил все указанные инструкции, стало гораздо легче! заметно меньше вирусов,

вернулись закладки в свойства дектопа.

НО:

1. В компьютере не нашлись:

Winmk71.sys

Loj84.sys

duD52.sys

2. Не фиксится O20 - Winlogon Notify: srxats - C:\WINDOWS\SYSTEM32\srxats32.dll

после каждого скана это строчка появляется снова.

3. Аваст орёт "обнаружен руткит Winnt32.dll" и таки WinNt32.dll

после рестарта опять на месте!!!

Извините, не добавил один лог :D

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis.log

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis.log

Ссылка на комментарий
Поделиться на другие сайты

Обязательно скачай IceSword

Слева внизу найди меню File, в нем найди следующие файлы и удали по правой кнопке Force Delete.

C:\WINDOWS\system32\WinNt32.dllC:\WINDOWS\system32\tcpsr.sysC:\WINDOWS\System32\srxats.dllC:\WINDOWS\System32\Drivers\Xsd36.sysC:\WINDOWS\System32\Drivers\Ctc61

Пофикси

O20 - Winlogon Notify: srxats - srxats.dll (file missing)

Скрипт в AVZ.

beginSetAVZGuardStatus(True);SearchRootkit(true, true);SetServiceStart('tcpsr', 4);SetServiceStart('Ctc61', 4);DeleteFile('C:\WINDOWS\system32\Drivers\Xsd36.sys');DeleteFile('C:\WINDOWS\system32\srxats.dll');DeleteFile('C:\WINDOWS\system32\WinNt32.dll');DeleteFile('C:\WINDOWS\System32\Drivers\Ctc61.sys');DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');BC_ImportAll;BC_DeleteSvc('Ctc61');BC_DeleteSvc('tcpsr');ExecuteSysClean;BC_Activate;RebootWindows(true);end.

Ну и логи еще раз.

. Аваст орёт

Аваст только орет. Используй CureIt в безопасном режиме.

Изменено пользователем ser208
Ссылка на комментарий
Поделиться на другие сайты

Автору респект и уважуха за скрипты!

Наконец-то появилась возможность ночевать дома, а не у друга :)

Вроде всё чистенько!

а автораны и лишние службы обязательно отключим!

Спасибо!

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.log

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.log

Ссылка на комментарий
Поделиться на другие сайты

Гость
Эта тема закрыта для публикации ответов.
  • Последние посетители   0 пользователей онлайн

    • Ни одного зарегистрированного пользователя не просматривает данную страницу
×
×
  • Создать...