Имя пользователя:
Пароль:  
Помощь | Регистрация | Забыли пароль?  | Правила  

Компьютерный форум OSzone.net » Информационная безопасность » Лечение систем от вредоносных программ » [решено] Проблемы после удаления Win32.Xorer

Ответить
Настройки темы
[решено] Проблемы после удаления Win32.Xorer

Пользователь


Сообщения: 105
Благодарности: 0

Профиль | Отправить PM | Цитировать


проблема похожа на описанную тут http://forum.oszone.net/thread-105213.html
Но всё же.
Вобщем компьютер был неживой. Снял винт подключил к своему компу со всеми мерами предосторожности, у меня KAV7 обнаружил порядка 400-500 файлов вируса. Все удалил. Вставил назад в ноут, ура винда запустилась, но постоянно при включении порядка 20-30 раз выходит сообщение "Система восстановленна после серьёзной ошибки" . При выполнении скриптов AVZ в частности третьего скрипта вдруг начал визжать Ноутовский каспер 7,0 с старенькими базами 2-3недельной давности и ругался он на Win32.Xorer.ee и ему подобные всех удалил (До этого антивирус вобще не включался). Самое главное Безопасный режим не загружается, улетает в BSOD с ошибкой 0х0000007b .
Ну и логи само собой выкладываю!

Отправлено: 19:56, 23-04-2008

 

Dr. Piligrim


Сообщения: 2443
Благодарности: 516

Профиль | Отправить PM | Цитировать


Dump, не хватает лога hijackthis - сделайте прикрепите его к сообщению.
В безопасном режиме система может загружаться?
Отключите восстановление системы!
В меню AVZ - файл - выполнить скрипт – выделить и скопировать текст ниже (методом Ctrl+C/Ctrl+V или с помощью правой кн. мыши копировать/вставить) в окно выполнения скрипта AVZ и нажать кнопку «Запустить»
Код: Выделить весь код
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 SetServiceStart('NetApi000', 4);
 QuarantineFile('C:\Program Files\PoivY.com\PoivY\PoivY.exe','');
 QuarantineFile('C:\WINDOWS\system32\csrss_tc.exe','');
 QuarantineFile('C:\WINDOWS\system32\dnsq.dll','');
 QuarantineFile('C:\Documents and Settings\Администратор\Главное меню\Программы\Автозагрузка\~.exe.37313.exe','');
 QuarantineFile('C:\NetApi000.sys','');
 DeleteService('NetApi000');
 QuarantineFile('C:\WINDOWS\system32\Drivers\scnet.sys','');
 QuarantineFile('C:\WINDOWS\system32\drivers\scfsp.sys','');
 QuarantineFile('C:\WINDOWS\system32\HideAgent.dll','');
 DeleteFile('C:\NetApi000.sys');
 DeleteFile('C:\Documents and Settings\Администратор\Главное меню\Программы\Автозагрузка\~.exe.37313.exe');
 DeleteFile('C:\WINDOWS\system32\dnsq.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteRepair(6);
 ExecuteRepair(8);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
RebootWindows(true);
end.
Компьютер перезагрузится. После перезагрузки поищите (можно через AVZ) файлы NETCFG.000, NETCFG.DLL, LSASS.EXE и SMSS.EXE в C:\WINDOWS\system32\com\
в корне всех дисков файлы PAGEFILE.PIF, 037589.LOG и AUTORUN.INF и добавьте в карантин
и выполните ещё скрипт
Код: Выделить весь код
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Файл quarantine.zip выслать на user15802[at]mail.ru, в теле письма указать ссылку на тему, или выложить файл на ifolder.ru или другой файлообменник и дать ссылку на него в ПМ (личку).
повторите лог virusinfo_syscheck.zip и сделайте лог hijackthis
чистые фаайлы пойдут в базу безопасных

-------

Virus? Malware? - Начните отсюда
Проблема в вашей теме решена? - Отметьте её решенной в настройках темы
Free Antivirus Software......Полиморфный AVZ


Отправлено: 21:31, 23-04-2008 | #2



Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети.

Если же вы забыли свой пароль на форуме, то воспользуйтесь данной ссылкой для восстановления пароля.


Пользователь


Сообщения: 105
Благодарности: 0

Профиль | Отправить PM | Цитировать


Вложения
Тип файла: rar hijackthis12.rar
(2.2 Kb, 5 просмотров)

В Безопасном режиме система не грузиться...писал..."Самое главное Безопасный режим не загружается, улетает в BSOD с ошибкой 0х0000007b ."

Что-то не заметил я что лог Джека не выложил, вот он!
Так же отправляю карантин после первой проверки!

Отправлено: 22:18, 23-04-2008 | #3


Dr. Piligrim


Сообщения: 2443
Благодарности: 516

Профиль | Отправить PM | Цитировать


Dump, карантин нужен после выполненияия скрипта + добавить те файлы, которые найдуться из списка
после этого делаете новый лог hijackthis и virusinfo_syscheck.zip (2-й скрип AVZ)
Пришло 2 одинаковых карантина, видимо карантин делался до вып-ия скрипта, как и лог hijackthis

-------

Virus? Malware? - Начните отсюда
Проблема в вашей теме решена? - Отметьте её решенной в настройках темы
Free Antivirus Software......Полиморфный AVZ


Отправлено: 22:27, 23-04-2008 | #4


Пользователь


Сообщения: 105
Благодарности: 0

Профиль | Отправить PM | Цитировать


Цитата Pili:
После перезагрузки поищите (можно через AVZ) файлы NETCFG.000, NETCFG.DLL, LSASS.EXE и SMSS.EXE в C:\WINDOWS\system32\com\
в корне всех дисков файлы PAGEFILE.PIF, 037589.LOG и AUTORUN.INF и добавьте в карантин »
Файлы не найдены, с помощью AVZ искал!
Цитата Pili:
и выполните ещё скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end. »
Выполнил высылаю файл на почту

Логи сейчас выполнятся выложу.
После первого приведённого вами скрипта перестало появляться сообщение "Система восстановленна...."

Отправлено: 22:34, 23-04-2008 | #5


Пользователь


Сообщения: 105
Благодарности: 0

Профиль | Отправить PM | Цитировать


Вложения
Тип файла: rar hijackthis123.rar
(2.1 Kb, 6 просмотров)

Логи после выполнения скрипта, карантин после выполнения уже выслал

Отправлено: 22:58, 23-04-2008 | #6


Dr. Piligrim


Сообщения: 2443
Благодарности: 516

Профиль | Отправить PM | Цитировать


Dump, жаль, зловреды в карантин не захотели (а антивир был отключен? - хотя м.б. из за руткита), остальные файлы похоже чистые, подождем ответа от вирлаба...
В письме был только карантин, новые логи прикрепите к вашему сообщению здесь

-------

Virus? Malware? - Начните отсюда
Проблема в вашей теме решена? - Отметьте её решенной в настройках темы
Free Antivirus Software......Полиморфный AVZ


Отправлено: 22:59, 23-04-2008 | #7


Пользователь


Сообщения: 105
Благодарности: 0

Профиль | Отправить PM | Цитировать


Pili, Логи после выполнения скрипта выложены в сообщении #6
Антивирус выключен был вроде!

Отправлено: 07:46, 24-04-2008 | #8


Dr. Piligrim


Сообщения: 2443
Благодарности: 516

Профиль | Отправить PM | Цитировать


Dump, пришел ответ из вирлаба scnet.sys, scfsp.sys - чистые
Запустите файл hijackthis.exe, нажмите кнопку "Do a system scan only", в открывшемся окне поставьте галочки напротив указанных строк и нажмите кнопку "Fix Checked".
Код: Выделить весь код
O4 - Startup: ~.exe.38375.exe
O4 - Startup: ~.exe.38465.exe
Кстати, судя по карнтину этого файла C:\Program Files\PoivY.com\PoivY\PoivY.exe нет, поищите, если не найдете, можете деинсталлировать или выполните скрипт
Код: Выделить весь код
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\Program Files\PoivY.com\PoivY\PoivY.exe','');
 DeleteFile('C:\Program Files\PoivY.com\PoivY\PoivY.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Цитата:
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Alerter (Оповещатель)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)

>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
что из этого не нужно?
в остальном логи чистые, проблемы ещё наблюдаются?

-------

Virus? Malware? - Начните отсюда
Проблема в вашей теме решена? - Отметьте её решенной в настройках темы
Free Antivirus Software......Полиморфный AVZ


Отправлено: 08:12, 24-04-2008 | #9


Пользователь


Сообщения: 105
Благодарности: 0

Профиль | Отправить PM | Цитировать


>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
Что это за служба ? Комп носимый всё остальное точно не нужно, но это я сам отключу.

Отправлено: 13:33, 24-04-2008 | #10



Компьютерный форум OSzone.net » Информационная безопасность » Лечение систем от вредоносных программ » [решено] Проблемы после удаления Win32.Xorer

Участник сейчас на форуме Участник сейчас на форуме Участник вне форума Участник вне форума Автор темы Автор темы Шапка темы Сообщение прикреплено

Похожие темы
Название темы Автор Информация о форуме Ответов Последнее сообщение
Проблемы после удаления файла riodrv.exe legolo Лечение систем от вредоносных программ 4 27-08-2009 19:43
[решено] Чистка AD после удаления компонентов Diesel315 Microsoft Windows NT/2000/2003 2 01-05-2009 08:47
Проблемы после удаления трояна romansmp Лечение систем от вредоносных программ 4 07-01-2009 20:31
Службы - [решено] проблемы после удаления программ paviox Microsoft Windows 2000/XP 4 20-03-2008 01:42
Словил трояна Backdoor.Win32.Ciadoor.13. После удаления вируса остались косяки. Device Лечение систем от вредоносных программ 6 16-08-2006 14:24




 
Переход