Показано с 1 по 19 из 19.

не могу удалить (заявка № 14053)

  1. #1
    Junior Member Репутация
    Регистрация
    10.11.2007
    Сообщений
    8
    Вес репутации
    60

    Exclamation не могу удалить

    Привет! у меня KIS7. при проверке находит и пишет "бнаружено: новая угроза Hidden.Object (модификация) Файл: C:\sccfg.sys" не лечится, удалить? я удаляю(пишет ,что удалится после перезагрузки). презагружаю комп проверяю опять он! и так 100 раз делал.:?
    Заходил на диск "С", открывал скрытые файлы, "sccfg.sys" нет такого нигде! вот и посоветуйте, что делать с этим и что это такое!?может в логах ченить есть?спасибо!
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\Program Files\ConnectionServices\ConnectionServices.dll','');
     QuarantineFile('C:\WINDOWS\system32\drivers\rsrvmon.exe','');
     QuarantineFile('C:\WINDOWS\system32\windrvNT.sys','');
     QuarantineFile('C:\WINDOWS\system32\drivers\MTictwl.sys','');
    BC_ImportQuarantineList;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Пришлите карантин согласно приложению 3 правил.

    Добавлено через 5 минут

    Пофиксите строчку в HijackThis:
    Код:
    O20 - Winlogon Notify: arm32reg - C:\WINDOWS\
    Макафи, я так понимаю, удалён? Тогда для зачистки хвостов выполните скрипт:
    Код:
    begin
    BC_DeleteSvc('McDetect.exe');
    BC_DeleteSvc('McTskshd.exe');
    BC_DeleteSvc('mcupdmgr.exe');
    BC_Activate;
    RebootWindows(true);
    end.
    Последний раз редактировалось Bratez; 10.11.2007 в 19:19. Причина: Добавлено
    I am not young enough to know everything...

  4. #3
    Junior Member Репутация
    Регистрация
    10.11.2007
    Сообщений
    8
    Вес репутации
    60
    Извиняюсь за задержку! карантин выслал, выполнил первый и второй код и Пофиксил! что дальше.??? что там с логами??

    Добавлено через 4 минуты

    O20 - Winlogon Notify: arm32reg - C:\WINDOWS\
    эту строку надо было полностью вводить или только часть?
    Последний раз редактировалось ГОША; 11.11.2007 в 13:49. Причина: Добавлено

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для rubin
    Регистрация
    15.10.2007
    Адрес
    Казань
    Сообщений
    2,934
    Вес репутации
    565
    not-a-virus:AdWare.Win32.BHO.kj - C:\Program Files\ConnectionServices\ConnectionServices.dll

    C:\Program Files\MP3 Player Utilities 4.03\DelDrv.exe
    Panda 9.0.0.4 2007.11.10 Suspicious file
    C:\WINDOWS\system32\windrvNT.sys
    Fortinet 3.11.0.0 2007.10.19 Misc/FolderLock
    Ikarus T3.1.1.12 2007.11.11 Trojan.NtRootKit.131
    McAfee 5160 2007.11.09 potentially unwanted program FolderLock
    Rising 20.17.62.00 2007.11.11 RootKit.Final.a
    TheHacker 6.2.9.123 2007.11.10 Trojan/Rootkit
    Последний раз редактировалось rubin; 11.11.2007 в 14:02.

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.03.2006
    Сообщений
    2,780
    Вес репутации
    1385

  7. #6
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для rubin
    Регистрация
    15.10.2007
    Адрес
    Казань
    Сообщений
    2,934
    Вес репутации
    565
    По мнению ВирЛаба, windrvNT.sys и DelDrv.exe - чистые...
    Тогда скрипт:
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     DeleteFile('C:\Program Files\ConnectionServices\ConnectionServices.dll');
     BC_ImportDeletedList;
     BC_Activate;
     ExecuteSysClean;
     RebootWindows(true);
    end.
    Для проверки повторите логи...

  8. #7
    Junior Member Репутация
    Регистрация
    10.11.2007
    Сообщений
    8
    Вес репутации
    60
    все выполнил! вот логи!
    Вложения Вложения

  9. #8
    Junior Member Репутация
    Регистрация
    10.11.2007
    Сообщений
    8
    Вес репутации
    60
    а вот это я и не понял! "Цитатаanda 9.0.0.4 2007.11.10 Suspicious file "
    вот карантин новый! и еще а что там насчет
    "бнаружено: новая угроза Hidden.Object (модификация) Файл: C:\sccfg.sys"


    в карантине MP3 плеер, его надо сносить?
    Последний раз редактировалось ГОША; 11.11.2007 в 17:05.

  10. #9
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Пофиксите в HijackThis:
    Код:
    O2 - BHO: ConnectionServices module - {6D7B211A-88EA-490c-BAB9-3600D8D7C503} - C:\Program Files\ConnectionServices\ConnectionServices.dll (file missing)
    O4 - HKLM\..\Run: [MCAgentExe] c:\PROGRA~1\mcafee.com\agent\mcagent.exe
    O4 - HKLM\..\Run: [MCUpdateExe] C:\PROGRA~1\McAfee.com\Agent\McUpdate.exe
    Файл: C:\sccfg.sys в логах не фигурирует.
    Сделайте дополнительный лог, как написано здесь:
    http://virusinfo.info/showthread.php?t=10387

    Добавлено через 40 секунд

    в карантине MP3 плеер, его надо сносить?
    Не надо.
    Последний раз редактировалось Bratez; 11.11.2007 в 17:12. Причина: Добавлено
    I am not young enough to know everything...

  11. #10
    Junior Member Репутация
    Регистрация
    10.11.2007
    Сообщений
    8
    Вес репутации
    60
    я не пойму,"BRATEZ" подскажи! Захожу в HiJackThis, жму туда затем туда появляется окошко в которое надо вводить (читал инструкцию все понял, что вводить не понял) ,что мне вводить ?всю строку сразу (пример O2 - BHO: ConnectionServices module - {6D7B211A-88EA-490c-BAB9-3600D8D7C503} - C:\Program Files\ConnectionServices\ConnectionServices.dll (file missing))

    так в avz4 сделал первое действие(выкладываю) , а когда делаю второе, то пишет "вставте диск avz4" .

    И самое интересное что на диске " С" появился фаил ,системный фаил "sccfg" (раньше его небыло) о как!!!что с ним делать? может его отправить на проверку в касперский!??
    Вложения Вложения

  12. #11
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для rubin
    Регистрация
    15.10.2007
    Адрес
    Казань
    Сообщений
    2,934
    Вес репутации
    565
    Ничего вводить не нужно! Нужно найти эту строчку, поставить у нее галочку, затем нажать "Fix checked"

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    1. Как правильно фиксить - читаем тут:
    http://virusinfo.info/showthread.php?t=4491

    2. Распакуйте заново ваш архив с программой AVZ.

    3. Файл C:\sccfg.sys пришлите по правилам как карантин через эту ссылку:
    http://virusinfo.info/upload_virus.php?tid=14053
    I am not young enough to know everything...

  14. #13
    Junior Member Репутация
    Регистрация
    10.11.2007
    Сообщений
    8
    Вес репутации
    60
    *Файл: C:\sccfg.sys в логах не фигурирует.
    Сделайте дополнительный лог, как написано здесь:
    http://virusinfo.info/showthread.php?t=10387*

    вот выкладываю.
    Вложения Вложения

  15. #14
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для rubin
    Регистрация
    15.10.2007
    Адрес
    Казань
    Сообщений
    2,934
    Вес репутации
    565
    1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     QuarantineFile('C:\WINDOWS\system32\drivers\rsrvmon.exe','');
     QuarantineFile('\??\F:\NTGLM7X.sys','');
     QuarantineFile('\??\F:\NTACCESS.sys','');
     QuarantineFile('\??\F:\INSTALL\GMSIPCI.SYS','');
     BC_ImportQuarantineList;
     BC_Activate;
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.
    Прислать карантин согласно приложения 3 правил .
    Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=

  16. #15
    Junior Member Репутация
    Регистрация
    10.11.2007
    Сообщений
    8
    Вес репутации
    60
    дабавление файла (по правилам) в карантин. вот что получается!!!


    /Oшибка карантина файла, попытка прямого чтения (sccfg.sys)
    Карантин с использованием прямого чтения - ошибка
    Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\sccfg.sys)
    Карантин с использованием прямого чтения - ошибка
    Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\system32\sccfg.sys)
    Карантин с использованием прямого чтения - ошибка
    Ошибка карантина файла, попытка прямого чтения (sccfg.sys)
    Карантин с использованием прямого чтения - ошибка
    Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\sccfg.sys)
    Карантин с использованием прямого чтения - ошибка
    Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\system32\sccfg.sys)/
    Карантин с использованием прямого чтения - ошибка

    Добавлено через 10 минут

    закачал карантин.что дальше???

    Добавлено через 11 минут

    После выполнения скрипта компьютер перезагрузится.
    Прислать карантин согласно приложения 3 правил .
    Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=[/quote]



    я отправил!
    Последний раз редактировалось ГОША; 11.11.2007 в 21:38. Причина: Добавлено

  17. #16
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для rubin
    Регистрация
    15.10.2007
    Адрес
    Казань
    Сообщений
    2,934
    Вес репутации
    565
    В карантин ничего не попало...
    Поищите через AVZ файлы rsrvmon.exe, NTGLM7X.sys, NTACCESS.sys и GMSIPCI.SYS, попробуйте либо добавить их в карантин либо заархивировать их и прислать по ссылке в верху...

  18. #17
    Junior Member Репутация
    Регистрация
    10.11.2007
    Сообщений
    8
    Вес репутации
    60
    через AVZ ничего не нашлось!

  19. #18
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    пофиксите ....
    Код:
    O4 - HKLM\..\Run: [rsrvmon.exe] C:\WINDOWS\system32\drivers\rsrvmon.exe
    сделайте новый лог ... HijackThis

  20. #19
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 4
    • Обработано файлов: 33
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\program files\\connectionservices\\connectionservices.dll - Trojan.Win32.ConnectionServices.m (DrWEB: Trojan.BitAcc)
      2. c:\\program files\\mp3 player utilities 4.03\\deldrv.exe - not-a-virus:RiskTool.Win32.Deleter.e


  • Уважаемый(ая) ГОША, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. не могу его удалить, не могу форматировать флэшку (заявка №13726)
      От CyberHelper в разделе Отчеты сервиса лечения VirusInfo
      Ответов: 3
      Последнее сообщение: 01.04.2010, 00:00
    2. не могу удалить
      От Petrovih в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 27.01.2010, 05:53
    3. Не могу удалить **.exe и **.#xe
      От Vdaik в разделе Помогите!
      Ответов: 12
      Последнее сообщение: 05.01.2010, 12:54
    4. не могу удалить getaccelerator
      От fedoroff в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 06.12.2009, 15:38
    5. Не могу удалить рекламу
      От ukralex в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 03.10.2009, 10:04

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00130 seconds with 18 queries