здравствуйте подскажите пожалуйста как мне удалить файл sulimo.dat и efsad.dll антивирус обнаружил но удалить не может а также пропала панель управления
здравствуйте подскажите пожалуйста как мне удалить файл sulimo.dat и efsad.dll антивирус обнаружил но удалить не может а также пропала панель управления
Где 2 лога от avz ?
*Нажми и выполни, если хочешь чтобы помощь улучшилась и ускорилась
*MyFirefox Portable
special avz @ rapidshare.com
md5: 2091925798B7909E010E3F7E328C5F0D
извините
Пофиксите в HijackThis:
Выполните скрипт в AVZ:Код:O2 - BHO: (no name) - {6B93D275-72FF-469D-9A07-0AA5010FDD5B} - C:\WINDOWS\system32\efsad.dll O20 - AppInit_DLLs: C:\WINDOWS\system32\sulimo.dat
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\ikf32.dll',''); QuarantineFile('C:\WINDOWS\system32\sulimo.dat',''); QuarantineFile('C:\WINDOWS\system32\DRIVERS\tcpip.sys',''); QuarantineFile('C:\WINDOWS\system32\DRIVERS\Qrt52.sys',''); QuarantineFile('C:\WINDOWS\system32\efsad.dll',''); DeleteFile('C:\WINDOWS\system32\efsad.dll'); DeleteFile('C:\WINDOWS\system32\DRIVERS\Qrt52.sys'); DeleteFile('C:\WINDOWS\system32\sulimo.dat'); DeleteFile('C:\WINDOWS\ikf32.dll'); BC_ImportALL; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Пришлите карантин согласно приложению 3 правил.
Сделайте новые логи.
I am not young enough to know everything...
большое спасибо файлы удалились но панель управления так и не появилась и не могу попасть в настройки постоянно выскакивает окно с сообщением что операции не могут быть выполненны.помогите
1. Пофиксите в HijackThis:
2. Очистите корзину.Код:O2 - BHO: (no name) - {6B93D275-72FF-469D-9A07-0AA5010FDD5B} - C:\WINDOWS\system32\efsad.dll (file missing)
3. Выполните скрипт в AVZ:
4. Новый карантин пришлите по правилам.Код:begin ClearQuarantine; SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\drivers\symavc32.sys',''); QuarantineFile('C:\WINDOWS\system32\drivers\utaptytx.dat',''); DeleteFile('C:\WINDOWS\system32\drivers\symavc32.sys'); BC_ImportALL; ExecuteSysClean; ExecuteRepair(5); ExecuteRepair(6); ExecuteRepair(8); ExecuteRepair(13); BC_Activate; RebootWindows(true); end.
I am not young enough to know everything...
AVZ -- Восст. системы -- п.5,6,8 отметить -- выполнить.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
ура всё появилось всё работает огромное спасибо
В первом карантине:
sulimo.dat - not-virus:Hoax.Win32.Renos.lq
Qrt52.sys - Rootkit.Win32.Agent.jc
efsad.dll - Trojan.Win32.Delf.aim
symavc32.sys - Rootkit.Win32.Agent.jc
tcpip.sys - чистый.
Добавлено через 2 минуты
Еще не всё! Ждем второй карантин.
utaptytx.dat - похоже свеженький зловред.
Последний раз редактировалось Bratez; 16.10.2007 в 16:26. Причина: Добавлено
I am not young enough to know everything...
на радостях забыл высылаю
Выполните скрипт в AVZ:
После перезагрузки сделайте новый комплект логов для контроля.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('C:\Windows\system32\drivers\utaptytx.dat'); BC_DeleteFile('C:\Windows\system32\drivers\utaptytx.dat'); BC_DeleteSvc('krmhbzvc'); ExecuteSysClean; BC_Activate; RebootWindows(true); end.
I am not young enough to know everything...
новый комплект логов
Вот это нужно позакрывать, если не пользуйтесь и все будет Ок.
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Remote Registry)
>> Службы: разрешена потенциально опасная служба TermService (Terminal Services)
>> Службы: разрешена потенциально опасная служба SSDPSRV (SSDP Discovery Service)
>> Службы: разрешена потенциально опасная служба Schedule ()
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Remote Desktop Help Session Manager)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>>> Безопасность: В IE разрешен запуск программ и файлов в IFRAME без запроса
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
огромное спасибо завтра буду разбираться
utaptytx.dat - свежачок, будет называться Rootkit.Win32.Agent.kt.
А вот ikf32.dll - вообще супер зверь: на virustotal.com его никто(!) даже не заподозрил, зато из вирлаба пришел ответ "New malicious software", правда название не сообщили, наверно еще не придумали .
Вы забыли пофиксить строчку:
А так логи чистые.Код:O2 - BHO: (no name) - {6B93D275-72FF-469D-9A07-0AA5010FDD5B} - C:\WINDOWS\system32\efsad.dll (file missing)
Только вот с этим неплохо бы еще разобраться:
Что нужно - скажите, остальное отключим.Код:>> Службы: разрешена потенциально опасная служба RemoteRegistry (Remote Registry) >> Службы: разрешена потенциально опасная служба TermService (Terminal Services) >> Службы: разрешена потенциально опасная служба SSDPSRV (SSDP Discovery Service) >> Службы: разрешена потенциально опасная служба Schedule () >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing) >> Службы: разрешена потенциально опасная служба RDSessMgr (Remote Desktop Help Session Manager) > Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)! >> Безопасность: разрешен автозапуск программ с CDROM >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...) >> Безопасность: к ПК разрешен доступ анонимного пользователя >>> Безопасность: В IE разрешен запуск программ и файлов в IFRAME без запроса >> Безопасность: Разрешена отправка приглашений удаленному помошнику
I am not young enough to know everything...
спасибо беру тайм аут до завтра
@Bratez А не боишься что это ложняк (ikf32.dll)?
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Уже поздно бояться
И нечего делать в папке C:\WINDOWS всяким посторонним dll-кам с неясной этиологией! .
I am not young enough to know everything...
службы отключил, строку профиксил.спасибо
Надеюсь в курсе что это открыто :
Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
помочь закрыть ?
Чтобы уменьшить шанс заражения, на будущее :
1) Работать за компьютером с правами ограниченного пользователя.
2) Пользоваться для хождения по интернету альтернативным браузером с отключёнными скриптами по умолчанию с лёгкостью разрешая доверенным сайтам выполнять скрипты (Firefox и Opera это позволяют делать в отличии от IE 7 ,6....)
3) Прочитать электронную книгу "Безопасный Интернет". Универсальная защита для Windows ME - Vista": http://security-advisory.newmail.ru
Вы можете нас отблагодарить, оказав нам помощь в сборе базы безопасных файлов : http://virusinfo.info/showthread.php?t=3519
Мы будем Вам очень благодарны!
*Нажми и выполни, если хочешь чтобы помощь улучшилась и ускорилась
*MyFirefox Portable
special avz @ rapidshare.com
md5: 2091925798B7909E010E3F7E328C5F0D
Уважаемый(ая) vl3, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.