Symantec AntiVirus находит вирус в директориях C:\WINDOWS\system32\msftp.dll и C:\Documents and Settings\uzer\msftp.dll . Удаляет . Но после перезагрузки вирус опять появляется.Прошу помочь.Заранее благодарен.
Symantec AntiVirus находит вирус в директориях C:\WINDOWS\system32\msftp.dll и C:\Documents and Settings\uzer\msftp.dll . Удаляет . Но после перезагрузки вирус опять появляется.Прошу помочь.Заранее благодарен.
Последний раз редактировалось tarik1969; 05.02.2008 в 23:32.
Удалите ConnectionServices - это адваре.
Выполните скрипт в АВЗ
После выполнения скрипта компьютер перезагрузится. Загрузите карантин согласно приложения 3 правил по ссылке http://virusinfo.info/upload_virus.php?tid=17541Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); SetServiceStart('msupdate', 4); StopService('msupdate'); QuarantineFile('C:\WINDOWS\schost.exe',''); QuarantineFile('C:\WINDOWS\system32\undname.exe',''); QuarantineFile('C:\WINDOWS\system32\ipv6mons.dll',''); QuarantineFile('C:\WINDOWS\system32\mms32rsers.dll',''); QuarantineFile('C:\WINDOWS\system32\sfrem01.exe',''); QuarantineFile('c:\windows\system32\mssrv32.exe',''); QuarantineFile('C:\WINDOWS\system32\drivers\oreans32.sys',''); QuarantineFile('C:\WINDOWS\system32\DRIVERS\lirsgt.sys',''); QuarantineFile('C:\WINDOWS\System32\PAStiSvc.exe',''); QuarantineFile('C:\WINDOWS\system32\DRIVERS\atksgt.sys',''); QuarantineFile('c:\windows\system32\drivers\spool.exe',''); QuarantineFile('c:\documents and settings\taras\local settings\application data\cftmon.exe',''); DeleteFile('C:\WINDOWS\system32\drivers\oreans32.sys'); DeleteFile('c:\windows\system32\mssrv32.exe'); DeleteFile('C:\Documents and Settings\taras\Local Settings\Application Data\cftmon.exe'); DeleteFile('C:\WINDOWS\system32\ipv6mons.dll'); DeleteFile('C:\WINDOWS\schost.exe'); BC_DeleteSvc('msupdate'); BC_DeleteSvc('FCI'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Профиксите
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDO WS\system32\undname.exe,
O2 - BHO: (no name) - {73364D99-1240-4dff-B12A-67E448373148} - C:\WINDOWS\system32\ipv6mons.dll (file missing)
O2 - BHO: Google Module - {B87D203B-B43D-4af9-9E1B-9C20478CBB74} - strike12.dll (file missing)
O9 - Extra button: (no name) - {9819CC0E-9669-4D01-9CD7-2C66DA43AC6C} - (no file)
Скрипт выполнил.Карантин выслал.
Вот новые логи.
Последний раз редактировалось tarik1969; 15.03.2008 в 22:42.
c:\documents and settings\taras\local settings\application data\cftmon.exe -Trojan.Win32.KillAV.ny
C:\Documents and Settings\taras\Local Settings\Temp\47C9.tmp Trojan-Downloader.Win32.Diehard.dm
c:\windows\system32\drivers\spool.exe Trojan.Win32.KillAV.ny
выполните скрипт ....
пришлите карантин согласно приложения 3 правил ...Код:begin ClearQuarantine; SearchRootkit(true, true); SetAVZGuardStatus(true); QuarantineFile('C:\WINDOWS\system32\h8Ei8d24.exe',''); QuarantineFile('C:\WINDOWS\system32\mms32rsers.dll',''); DeleteFile('c:\windows\system32\drivers\spool.exe'); DeleteFile('C:\Documents and Settings\LocalService\Local Settings\Application Data\cftmon.exe'); DeleteFile('C:\WINDOWS\system32\mms32rsers.dll'); DeleteFile('C:\Documents and Settings\taras\Local Settings\Temp\47C9.tmp'); BC_Importall; BC_Activate; ExecuteSysClean; RebootWindows(true); end.
Скрипт выполнил. Карантин отправил.
Нужно ли высылать новые логи?
удалите задания в планировщике ....
mms32rsers.dll - попробуйте найти при помощи авз- сервис- поиск файлов на диске .... если найдется пришлите поправилам ...
mms32rsers.dll авз не находит
пофиксите ....
повторите логи начиная с пкнкта 10 правил ...Код:O20 - AppInit_DLLs: C:\WINDOWS\system32\mms32rsers.dll
ничего. делайте логи с пункта 10.
Вот логи.
Последний раз редактировалось tarik1969; 15.03.2008 в 22:42.
выполните скрипт ...
у вас есть расшаренные ресурсы ?Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('c:\documents and settings\taras\local settings\application data\cftmon.exe'); DeleteFile('C:\WINDOWS\system32\drivers\spool.exe'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Добавлено через 1 минуту
PAStiSvc.exe - пришлите по правилам ...
Последний раз редактировалось V_Bond; 05.02.2008 в 22:55. Причина: Добавлено
Домашний компютер. Расшареных ресурсов нет.
давайте полный комплект логов и запрошенный файл ... вы опять нахватали ...
msftp.dll больше не появляется. PAStiSvc.exe выслал
Вот новые логи.
Последний раз редактировалось tarik1969; 15.03.2008 в 22:42.
сейчас в логах чисто ...
стоит закрыть лишнее из списка ...
> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Alerter (Оповещатель)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
Огромное вам спасибо!
Уважаемый(ая) tarik1969, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.