самому удалить этот руткит никак-)
самому удалить этот руткит никак-)
Лога Hijackthis не хватает.
На время выполнения скрипта, отключитесь от сети и отключите антивирусный монитор.
Программа AVZ - файл - выполнить скрипт - выполните следующий скрипт:Система будет перезагружена, после перезагрузки, карантин AVZ загрузите по ссылке http://virusinfo.info/upload_virus.php?tid=13482 , как написано в прил.3 правил, и сделайте новые логи, включая лог Hijackthis.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINNT\system32\1\tmksrvu.exe',''); QuarantineFile('C:\WINNT\Downloaded Program Files\eConnect.dll',''); QuarantineFile('c:\program files\common files\epson\ebapi\sagentnt.exe',''); QuarantineFile('c:\winnt\system32\gamserv\gamserv.exe',''); QuarantineFile('c:\winnt\system32\gamserv\gamscm.exe',''); QuarantineFile('Gamevlog.exe',''); QuarantineFile('c:\winnt\system32\gamserv\gamevent.exe',''); QuarantineFile('c:\program files\common files\epson\ebapi\ebrr.exe',''); QuarantineFile('c:\winnt\system32\e_ssrp03.exe',''); BC_DeleteFile('\??\C:\WINNT\System32\drivers\runtime.sys'); BC_DeleteFile('\??\C:\WINNT\System32\drivers\runtime2.sys'); BC_DeleteSVC('runtime'); BC_DeleteSVC('runtime2'); BC_ImportQuarantineList; BC_Activate; RebootWindows(true); end.
Первая часть "Марлезонского" балета:
Выполнить скрипт:
Сделать новые логи. Загрузить карантин по ссылке вверху темы.Код:begin BC_QrFile('C:\WINDOWS\Temp\startdrv.exe'); BC_QrFile('C:\WINDOWS\SYSTEM32\DRIVERS\RUNTIME2.SYS'); // BC_QrFile('C:\WINDOWS\system32\drivers\ip6fw.sys'); BC_DeleteFile('C:\WINDOWS\Temp\startdrv.exe'); BC_DeleteFile('C:\WINDOWS\SYSTEM32\DRIVERS\RUNTIME2.SYS'); // BC_DeleteFile('C:\WINDOWS\system32\drivers\ip6fw.sys'); BC_DeleteSvc('runtime'); BC_DeleteSvc('runtime2'); // BC_DeleteSvc('Ip6Fw'); BC_Activate; RebootWindows(true); end.
Последний раз редактировалось PavelA; 24.10.2007 в 11:32. Причина: runtime удалять так по-моему правильней.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
скриптами, частично сам дописал...вроде вырезал заразу, подождем-посмотрим что дальше.
а карантин и логи забыли?
сейчас высылаю.
AVZ-это гуд.
кстати что-то в этой заразе было не так... комп с ней негрузился- выскакивал синий экран, т.е. конфликт дров ядра.. так это вроде называется, это частный случай или вирусописатели ошиблись...если кому интересно, то могу выслать runtime2.sys
может кто и поковыряет его.
Последний раз редактировалось Shu_b; 26.10.2007 в 15:13.
virusinfo_cure.rar это карантин, уберите его из сообщения.
Кстати в нем:
eConnect.dll - программа автодозвона not-a-virus: Porn-Dialer.Win32.eConnect
Добавлено через 4 минуты
Вот скрипт для удаления:
Добавлено через 49 секундКод:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('C:\WINNT\Downloaded Program Files\eConnect.dll'); BC_DeleteFile('C:\WINNT\Downloaded Program Files\eConnect.dll'); ExecuteSysClean; BC_Activate; RebootWindows(true); end.
И сделайте лог HijackThis.
Последний раз редактировалось Bratez; 26.10.2007 в 13:58. Причина: Добавлено
I am not young enough to know everything...
а что это за автодозвон?
*Нажми и выполни, если хочешь чтобы помощь улучшилась и ускорилась
*MyFirefox Portable
special avz @ rapidshare.com
md5: 2091925798B7909E010E3F7E328C5F0D
видимо поэтому он меня и не беспокоил...
Давайте лог HijackThis
И что из этого вам нужно?остальное исправим
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Служба удаленного управления реестром)
>> Службы: разрешена потенциально опасная служба TlntSvr (Telnet)
>> Службы: разрешена потенциально опасная служба Messenger (Служба сообщений)
>> Службы: разрешена потенциально опасная служба Alerter (Оповещатель)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>>> Безопасность: В IE разрешены автоматические запросы элементов управления ActiveX
Уважаемый(ая) andyvasa, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.