В wmdrtc32.dll был обнаружен Email-Worm.Win32.Warezov.et. Никак не могу от него избавиться. Пытался удалять вручную. После перезагрузки восстанавливается.(Восстановление системы отключено)
В wmdrtc32.dll был обнаружен Email-Worm.Win32.Warezov.et. Никак не могу от него избавиться. Пытался удалять вручную. После перезагрузки восстанавливается.(Восстановление системы отключено)
1.Точно выполнить пункт 2 правил.
2.AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.
Прислать карантин согласно приложения 3 правил .Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\drivers\fhrkjn.sys',''); QuarantineFile('C:\WINDOWS\system32\wmdrtc32.dll',''); QuarantineFile('c:\documents and settings\Алексей\Главное меню\Программы\Автозагрузка\ctfmon.exe',''); DeleteFile('C:\WINDOWS\system32\wmdrtc32.dll'); DeleteFile('C:\WINDOWS\SYSTEM32\reset5.dll'); DeleteFile('C:\WINDOWS\system32\mciservice.exe'); BC_DeleteSvc('MCIService'); BC_ImportAll; ExecuteSysClean; BC_Activate; ExecuteRepair(6); ExecuteRepair(9); RebootWindows(true); end.
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=11708
Добавлено через 11 минут
Почему не обновили hijackthis ? скачать (в правилах же ссылка есть )
Последний раз редактировалось drongo; 16.08.2007 в 11:09. Причина: Добавлено
*Нажми и выполни, если хочешь чтобы помощь улучшилась и ускорилась
*MyFirefox Portable
special avz @ rapidshare.com
md5: 2091925798B7909E010E3F7E328C5F0D
Карантин прислал. HiJackThis скачал.
В карантине:
C:\WINDOWS\system32\drivers\fhrkjn.sys - Virus.Win32.Sality.s
C:\WINDOWS\system32\wmdrtc32.dll - Email-Worm.Win32.Warezov.et
c:\documents and settings\Алексей\Главное меню\Программы\Автозагрузка\ctfmon.exe - Trojan.Win32.VB.aqt
(все - по классификации Касперского)
Плюсом еще autorun.inf интересные.
Программа AVZ - файл - выполнить скрипт - выполните следующий скрипт:Система будет перезагружена. После перезагрузки, сделайте новые логи, начиная с п.10 правилКод:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('c:\documents and settings\Алексей\Главное меню\Программы\Автозагрузка\ctfmon.exe'); DeleteFile('C:\WINDOWS\system32\wmdrtc32.dll'); DeleteFile('C:\WINDOWS\system32\drivers\fhrkjn.sys'); DeleteFile('C:\autorun.inf'); DeleteFile('D:\autorun.inf'); DeleteFile('c:\Recycled\ctfmon.exe'); DeleteFile('d:\Recycled\ctfmon.exe'); DeleteFile('c:\Recycled\Recycled\ctfmon.exe'); DeleteFile('d:\Recycled\Recycled\ctfmon.exe'); BC_DeleteFile('C:\WINDOWS\system32\drivers\fhrkjn.sys'); BC_DeleteFile('C:\WINDOWS\system32\wmdrtc32.dll'); BC_DeleteFile('c:\documents and settings\Алексей\Главное меню\Программы\Автозагрузка\ctfmon.exe'); BC_ImportDeletedList; BC_Activate; ExecuteSysClean; RebootWindows(true); end.
И еще: как минимум один из выловленных, по описанию судя, файловый вирус. Крайне рекомендуется скачать Cureit! - ftp://ftp.drweb.com/pub/drweb/cureit/cureit-beta.exe и произвести полную проверку системы, загрузившись в безопасном режиме
Логи сделал. С безопасным режимом проблема Начинает загружаться, потом пищит и перезагружается.
Sality - файловый вирус! Даже до AVZ добрался, зараза.>>>> Опасно - файл avz.exe изменен, его CRC не прошла контроль по базе безопасных
1. Скачайте свежий CureIt и AVZ заново на другом компьютере, обновите базу AVZ и все это запишите на CD-R.
2. На своем компьютере с этого диска запустите полную проверку CureIt'ом, затем запустите AVZ и выполните скрипт:
3. После перезагрузки проверку CureIt'ом повторите.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('C:\WINDOWS\system32\wmdrtc32.dll'); DeleteFile('C:\WINDOWS\system32\drivers\fhrkjn.sys'); BC_ImportDeletedList; BC_DeleteSvc('NdisFileServices32'); ExecuteSysClean; BC_Activate; RebootWindows(true); end.
4. Сделайте новые логи.
I am not young enough to know everything...
Спасибо, попробую.
Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )
Отключите службы из этого списка.Код:C:\Documents and Settings\Алексей\Главное меню\Программы\Автозагрузка\ctfmon.exe O4 - Startup: ctfmon.exe O20 - Winlogon Notify: reset5 - reset5.dll (file missing)
выполните следующий скрипт в AVZ:
Возможно тогда можно будет в безопасный режим зайти.Код:begin ExecuteRepair(10); RebootWindows(true); end.
*Нажми и выполни, если хочешь чтобы помощь улучшилась и ускорилась
*MyFirefox Portable
special avz @ rapidshare.com
md5: 2091925798B7909E010E3F7E328C5F0D
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 11
- В ходе лечения обнаружены вредоносные программы:
- c:\\autorun.inf - Worm.Win32.VB.fi (DrWEB: Win32.HLLW.Unjap)
- c:\\documents and settings\\алексей\\главное меню\\программы\\автозагрузка\\ctfmon.exe - P2P-Worm.Win32.Bacteraloh.h (DrWEB: Win32.Sector.28682)
- c:\\windows\\system32\\drivers\\fhrkjn.sys - Virus.Win32.Sality.s (DrWEB: Trojan.Ipsof)
- c:\\windows\\system32\\wmdrtc32.dll - Virus.Win32.Sality.s (DrWEB: Win32.Sector.28682)
- d:\\autorun.inf - Worm.Win32.VB.fi (DrWEB: Trojan.Recycle)
Уважаемый(ая) Bloodshot, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.