-
MS32DLL.dll.vbs прям Дунька Маклауд
Принесли мне очередной комп на ремонт....... По мнению хозяина у него были вирусы на машине а в последний день винда совсем отказалась запускаться и все время ребутилась..... После не удачной попытки востоновить винду с дистрибутива я принел ришение его основной хард(в систему 2 харда) снять вместо него поставить свой и на него уже винду а с его харда в дальнейшем инфу перикинуть...... Поставил я свой хард его 2 не подсоединял до окончания устоновки винды..... а когда подсоединил 2 хардик то решил проверить на всякий пожарный комп спомощью cureit и он сразуже начал орать на то что на компе найдены трояны..... короч утилита свое отработала далее я еще раз решил проверить комп уже в нормальном режиме и опятьже увидел знакомые имена такие как autorfn.inf и MS32DLL.dll.vbs
востоновление системы отключил еще до первой проверки но они всеравно востонавливаються и уже перепрыгнули на мой рабочий ПК и на мою флешку короче ребята спасайте.... логи с этого компа прилогаю а с рабочим попробую сам справиться...
П/С в карантин попали только аутораны совсех дисков и я закрантинел с диска С эту гадкую бяку MS32DLL.dll.vbs
Последний раз редактировалось fotorama; 22.01.2008 в 09:20.
Незнание закона не освобождает от ответственности.
Знание - запросто
-
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Сообщение от
fotorama
Принесли мне очередной комп на ремонт.......
Не понимаю, зачем брать комп на ремонт, если сам не можешь ремонтировать???
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\MS32DLL.dll.vbs','');
DeleteFile('C:\WINDOWS\MS32DLL.dll.vbs');
ExecuteSysClean;
RebootWindows(false);
end.
Потом ещё один
Код:
begin
BC_QrSvc('cercsr6.sys');
BC_Activate;
RebootWindows(true);
end.
"Пофиксите" в HijackThis
Код:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Hacked by Godzilla
O4 - HKLM\..\Run: [MS32DLL] C:\WINDOWS\MS32DLL.dll.vbs
Пришлите файлы карантина по правилам раздела "Помогите". Повторите логи.
-
-
Сообщение от
Maxim
Не понимаю, зачем брать комп на ремонт, если сам не можешь ремонтировать???
я что их по своей воле беру?????????? меня ими заваливают
Добавлено через 12 минут
первый скрипт не подействовал комп ребутнулся а после загрузки все файлы были на месте.... мне его еще раз выполнить или логи делать заного?
Последний раз редактировалось fotorama; 10.07.2007 в 15:30.
Причина: Добавлено сообщение
Незнание закона не освобождает от ответственности.
Знание - запросто
-
-
Карантин где?
Сообщение от
fotorama
я что их по своей воле беру?????????? меня ими заваливают
Как это против воли можно принять комп на ремонт?
-
-
Карантин закачан
Файл сохранён как 070710_153539_virus.fotorama_46936f0bad8bb.zip
Размер файла 3874
MD5 3cbb99060c84ce6d71ad
Незнание закона не освобождает от ответственности.
Знание - запросто
-
-
Не забыть удалить autorun.* с всех дисков.
Есть возможность в реестре отключить autorun с жестких дисков.
С ходу ссылку дать не могу, но в твоем случае это нужно сделать. Думаю, это не последний комп, который ты лечишь.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Выполните скрипт в AVZ
Код:
begin
BC_DeleteFile('C:\WINDOWS\MS32DLL.dll.vbs');
BC_Activate;
RebootWindows(true);
end.
Повторите логи. Вот результат сканирования этого вируса http://virusinfo.info/showpost.php?p...&postcount=208
Почему люди до сих пор работают без антивируса...
-
-
Сообщение от
PavelA
Не забыть удалить autorun.* с всех дисков.
Есть возможность в реестре отключить autorun с жестких дисков.
С ходу ссылку дать не могу, но в твоем случае это нужно сделать. Думаю, это не последний комп, который ты лечишь.
приблезительно где в реестре вырубить ? да не последний еще мой рабочий постродал из-за заражения флешки но щас его еще разок сканю вроде сним все норм.....
Добавлено через 1 минуту
Сообщение от
Maxim
яже в самом верху темы на писал что винду только что поставвил....... а антивирус ставить на заражонный комп смысла нет вродебы.... не такли???
благодарю за скрипт уже выполнил делаю логи
Последний раз редактировалось fotorama; 10.07.2007 в 15:53.
Причина: Добавлено сообщение
Незнание закона не освобождает от ответственности.
Знание - запросто
-
-
p2u знает очень хороший способ отключить автозапуск всех дисков кроме системного. Обратитесь к нему за советом.
-
-
Сообщение от
Maxim
p2u знает очень хороший способ отключить автозапуск всех дисков кроме системного. Обратитесь к нему за советом.
благодарю ща попробую обратиться
Незнание закона не освобождает от ответственности.
Знание - запросто
-
-
новые логи
насторожило что этот cercsr6.sys еще жив после скрипта может заново
этот скриптмк прогнать?
Код:
begin
BC_QrSvc('cercsr6.sys');
BC_Activate;
RebootWindows(true);
end.
Последний раз редактировалось fotorama; 22.01.2008 в 09:20.
Незнание закона не освобождает от ответственности.
Знание - запросто
-
-
таку мне повторять скрипт или же не стоит? и как логи я сам там кроме той строчки ничего подозрительного не нашо но мнение специалистов в данном случае мне больше хоченться услышать чем пологаться на себя
Незнание закона не освобождает от ответственности.
Знание - запросто
-
-
файл пытались поместить в карантин,а не удалить
выполните такой скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
ClearQuarantine;
BC_QrFile('cercsr6.sys');
BC_LogFile(GetAVZDirectory + 'boot_clr.log');
BC_Activate;
RebootWindows(true);
end.
лог boot_clr.log из папки AVZ прикрепите к сообщению.
и пришлите карантин если будет не пустой.
PS.а вообще файл кажется легальный,вирус MS32DLL.dll.vbs мы удалили,больше ничего нет подозрительного,но проверить не помешает.
+1 к PavelA
http://www.runscanner.net/getMD5.asp...ss=cercsr6.sys
Последний раз редактировалось Muzzle; 10.07.2007 в 17:09.
-
-
Я думаю, что это не зловред. Его можно не трогать.
http://www.kellys-korner-xp.com/xp_tweaks.htm - ссылка на "полезняшки"
Сегодня днем, правда, чего-то открываться не захотела.
А сейчас уже работает.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
в карантине файл нулевова размера
boot_clr.log прилогаю
спасибо всем за помощь теперь до встречи завтра сегодня я длжен уежять срочно
Последний раз редактировалось fotorama; 22.01.2008 в 09:20.
Незнание закона не освобождает от ответственности.
Знание - запросто
-
-
так у меня все чисто или нет?
Незнание закона не освобождает от ответственности.
Знание - запросто
-
-
всё чистенько
-
-
Сообщение от
Muzzle
всё чистенько
благодарю за скорый ответ=)
Огромное спасибо всем кто откликнулся и помогал в решении этой проблемы!
Незнание закона не освобождает от ответственности.
Знание - запросто
-