В sistem32 появились какие-то файлы начинающиеся с kb*.exe Что это? Посмотрите пожалуйста лог . Спасибо.
В sistem32 появились какие-то файлы начинающиеся с kb*.exe Что это? Посмотрите пожалуйста лог . Спасибо.
Пофиксите в HijackThis:
Код:F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe, O4 - HKCU\..\Run: [userinit] C:\WINDOWS\system32\ntos.exe O9 - Extra button: (no name) - {FFFFFFFF-ABBB-FFFF-FFFF-FFFFFFFFFFFF} - http://top.holm.ru/cgi-bin/link.cgi?l=book (file missing) O9 - Extra 'Tools' menuitem: FUNNY SEXY PICTURES - {FFFFFFFF-ABBB-FFFF-FFFF-FFFFFFFFFFFF} - http://top.holm.ru/cgi-bin/link.cgi?l=book (file missing) O16 - DPF: {33331111-1111-1111-1111-611111193423} - O16 - DPF: {33331111-1111-1111-1111-615111193427} - O16 - DPF: {33331111-1131-1111-1111-611111193428} - O20 - Winlogon Notify: partnershipreg - C:\Documents and Settings\All Users\Документы\Settings\partnership.dll O21 - SSODL: SysRun - {D7FFD784-5276-42D1-887B-00267870A4C7} - C:\WINDOWS\system32\svshost.dll
Опыт — это слово, которым люди называют свои ошибки.
Товариши! Посмтрите логи плз - все сделал по понятиям. Dr web-ом проверял кое-что удалил. Но копм в инете ужасно тормозит.
[moderated! Карантин (virusinfo_cure.zip) нужно присылать в соответствии с приложением 3 правил.]
Последний раз редактировалось Shu_b; 07.09.2007 в 14:21.
AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.
После перезагрузки.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('http://top.holm.ru/cgi-bin/link.cgi?l=book',''); QuarantineFile('C:\WINDOWS\system32\svshost.dll',''); QuarantineFile('C:\WINDOWS\system32\ntos.exe',''); QuarantineFile('C:\WINDOWS\system32\erktjrt.dll',''); QuarantineFile('C:\WINDOWS\system32\cssrss.exe',''); QuarantineFile('C:\WINDOWS\system32\KB_963491.exe',''); QuarantineFile('\??\C:\WINDOWS\system32\nso12k.sys',''); BC_DeleteFile('C:\Documents and Settings\All Users\Документы\Settings\partnership.dll'); BC_DeleteFile('\??\C:\WINDOWS\System32\drivers\runtime.sys'); BC_DeleteFile('\??\C:\WINDOWS\System32\drivers\runtime2.sys'); BC_DeleteFile('system32\drivers\ip6fw.sys'); BC_DeleteFile('C:\WINDOWS\Temp\startdrv.exe'); DeleteFile('C:\WINDOWS\Temp\startdrv.exe'); DeleteFile('C:\WINDOWS\system32\KB_963491.exe'); BC_DeleteFile('C:\WINDOWS\system32\cssrss.exe'); DeleteFile('C:\WINDOWS\system32\cssrss.exe'); DeleteFile('C:\WINDOWS\system32\erktjrt.dll'); BC_DeleteFile('C:\WINDOWS\system32\erktjrt.dll'); BC_DeleteFile('C:\WINDOWS\system32\ntos.exe'); DeleteFile('C:\WINDOWS\system32\ntos.exe'); DeleteFile('C:\WINDOWS\system32\svshost.dll'); BC_DeleteFile('C:\WINDOWS\system32\svshost.dll'); BC_DeleteFile('http://top.holm.ru/cgi-bin/link.cgi?l=book'); BC_DeleteSvc('runtime'); BC_DeleteSvc('runtime2'); BC_ImportAll; BC_Activate; ExecuteSysClean; RebootWindows(true); end.
Прислать карантин согласно приложения 3 правил .
Сделать новые логи.
Последний раз редактировалось PavelA; 07.09.2007 в 14:59. Причина: Thk Numb
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
BC_DeleteFile('\??\C:\WINDOWS\System32\drivers\run time.sys');
BC_DeleteFile('\??\C:\WINDOWS\System32\drivers\run time2.sys');
BC_DeleteSvc('runtime');
BC_DeleteSvc('runtime2');
Вот выше перечисленное они удялятся? runtime - это что за вещь. МНе кажется оно нужно.
Оно не нужно. Это - спамбот. Или, вернее, руткиты, его маскирующие.
Владимир_Ильич, как сказала партия , так и выполнять лазутчики это .
*Нажми и выполни, если хочешь чтобы помощь улучшилась и ускорилась
*MyFirefox Portable
special avz @ rapidshare.com
md5: 2091925798B7909E010E3F7E328C5F0D
Последний раз редактировалось Владимир_Ильич; 07.09.2007 в 15:43. Причина: Добавлено
'system32\drivers\ip6fw.sys' - я думаю из-за него.
Сделай логи в Safe Mode.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Выполните такой скрипт:
Пофиксите в HijackThis:Код:begin BC_DeleteFile('C:\Documents and Settings\All Users\Документы\Settings\partnership.dll'); BC_DeleteFile('C:\WINDOWS\System32\drivers\runtime.sys'); BC_DeleteFile('C:\WINDOWS\System32\drivers\runtime2.sys'); BC_DeleteFile('system32\drivers\ip6fw.sys'); BC_DeleteFile('C:\WINDOWS\Temp\startdrv.exe'); BC_DeleteFile('C:\WINDOWS\system32\cssrss.exe'); BC_DeleteFile('C:\WINDOWS\system32\erktjrt.dll'); BC_DeleteFile('C:\WINDOWS\system32\ntos.exe'); BC_DeleteFile('C:\WINDOWS\system32\svshost.dll'); BC_DeleteSvc('runtime'); BC_DeleteSvc('runtime2'); BC_Activate; RebootWindows(true); end.
Перезагрузитесь и сделайте новые логи.Код:F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,C:\WINDOWS\system32\ntos.exe, O4 - HKLM\..\Run: [startdrv] C:\WINDOWS\Temp\startdrv.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKCU\..\Run: [userinit] C:\WINDOWS\system32\ntos.exe O16 - DPF: {33331111-1111-1111-1111-611111193429} - http://www.www2.p0rt2.com/files/_ipsec_.cab O16 - DPF: {33331111-1234-1111-1111-615111193427} - http://www.www2.p0rt2.com/files/epl60bd.cab O21 - SSODL: DCOM Server 25319 - {2C1CD3D7-86AC-4068-93BC-A02304B25319} - C:\WINDOWS\system32\erktjrt.dll (file missing) O22 - SharedTaskScheduler: DCOM Server 25319 - {2C1CD3D7-86AC-4068-93BC-A02304B25319} - C:\WINDOWS\system32\erktjrt.dll (file missing)
I am not young enough to know everything...
C:\hi_\infec\runtime2.sys - что за ерунда? Сами сохраняли или какая-то другая программа. Имя файла взял со скриншота
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Все по порядку.
1. Runtime2 - кинул сам в директорию hi_ ...
1а. имя файла "ошибка.gif" ? - сам
2. Сделал как говорил в последний раз Bratez - получилось. gривожу логи. Может есть хвосты?
3. Беспокоит ntos.exe - че за хрень не понятно?
4. Подключение к инету после загрузки уже исчезло.
Выполните скрипт:
После перезагрузки сделайте лог, как написано здесь:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\Sal25', 'Start'); DeleteFile('C:\WINDOWS\system32\ntos.exe'); BC_QrSvc('kprof'); BC_QrSvc('poof'); BC_QrSvc('smtpdrv'); BC_DeleteSvc('kprof'); BC_DeleteSvc('poof'); BC_DeleteSvc('smtpdrv'); BC_DeleteFile('C:\WINDOWS\System32\DRIVERS\smtpdrv.sys'); BC_DeleteFile('C:\WINDOWS\system32\kprof'); BC_DeleteFile('C:\WINDOWS\system32\poof'); BC_DeleteFile('C:\WINDOWS\system32\ntos.exe'); ExecuteSysClean; ExecuteRepair(16); BC_Activate; RebootWindows(true); end.
http://virusinfo.info/showthread.php?t=10387
I am not young enough to know everything...
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Выполните такой скрипт:
После перезагрузки пофиксите в HijackThis (если останется):Код:begin BC_QrSvc('kprof'); BC_QrSvc('poof'); BC_QrSvc('smtpdrv'); BC_DeleteSvc('kprof'); BC_DeleteSvc('poof'); BC_DeleteSvc('smtpdrv'); BC_DeleteFile('C:\WINDOWS\System32\DRIVERS\smtpdrv.sys'); BC_DeleteFile('C:\WINDOWS\system32\kprof'); BC_DeleteFile('C:\WINDOWS\system32\poof'); BC_DeleteFile('C:\WINDOWS\system32\ntos.exe'); ExecuteSysClean; ExecuteRepair(16); BC_Activate; RebootWindows(true); end.
и выполните еще один скрипт:Код:F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,C:\WINDOWS\system32\ntos.exe, O4 - HKCU\..\Run: [userinit] C:\WINDOWS\system32\ntos.exe
Затем снова сделайте "дополнительный лог" AVZ.Код:begin SearchRootkit(false, true); SetAVZGuardStatus(True); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\Sal25', 'Start'); RebootWindows(true); end.
I am not young enough to know everything...
Уважаемый(ая) Владимир_Ильич, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.