C:\WINDOWXP\system32\baselnv32.dll
avz переименовала в bak
при удалении комп не загружается ни в каком режиме
поэтому после 8 пункта тоже не перезагружал
буду очень признателен за помощь
заранее спасибо
C:\WINDOWXP\system32\baselnv32.dll
avz переименовала в bak
при удалении комп не загружается ни в каком режиме
поэтому после 8 пункта тоже не перезагружал
буду очень признателен за помощь
заранее спасибо
C:\WINDOWXP\system32\baselnv32.dll - у нас есть лекарство
Добавлено через 7 минут
1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
После выполнения скрипта компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(true); SetServiceStart('smtpdrv', 4); SetServiceStart('WDICA', 4); StopService('WDICA'); StopService('smtpdrv'); QuarantineFile('C:\WINDOWXP\system32\tmp_728.dll',''); QuarantineFile('C:\WINDOWXP\system32\drivers\spool.exe',''); QuarantineFile('C:\WINDOWXP\TEMP\winlogon.exe',''); QuarantineFile('C:\DOCUME~1\АДМИНИ~1.7CN\LOCALS~1\Temp\winlogon.exe',''); QuarantineFile('WDICA.sys',''); QuarantineFile('C:\WINDOWXP\system32\DRIVERS\smtpdrv.sys',''); QuarantineFile('\WINDOWXP\system32\hal.dll',''); QuarantineFile('C:\WINDOWXP\system32\baselnv32.dll',''); DeleteFile('C:\WINDOWXP\system32\DRIVERS\smtpdrv.sys'); DeleteFile('WDICA.sys'); DeleteFile('C:\DOCUME~1\АДМИНИ~1.7CN\LOCALS~1\Temp\winlogon.exe'); DeleteFile('C:\WINDOWXP\TEMP\winlogon.exe'); DeleteFile('C:\WINDOWXP\system32\tmp_728.dll'); DeleteService('WDICA'); DeleteService('smtpdrv'); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3); BC_Activate; ExecuteSysClean; RebootWindows(true); end.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=18487
2.Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )
Выполните в АВЗКод:F2 - REG:system.ini: UserInit=C:\WINDOWXP\system32\userinit.exe,C:\WINDOWXP\system32\c++.exe,C:\WINDO WXP\system32\regwiz.exe,C:\WINDOWXP\system32\c++.exe, O4 - HKCU\..\Run: [Firewall auto setup] C:\DOCUME~1\АДМИНИ~1.7CN\LOCALS~1\Temp\winlogon.exe O4 - Startup: PowerReg Scheduler.exe O20 - AppInit_DLLs: C:\WINDOWXP\system32\tmp_728.dll
Повторите логи. Прикрепите также к сообщению SubSystems.log из папки AVZ.Код:function _DecHex( Dc : Integer) : String; begin Result := Copy('0123456789abcdef',Dc+1,1); end; function DecHex( Dec : Integer) : String; var Di,D1,D2 : integer; begin Di := 0; D1 := 0; D2 :=0; While Di < Dec Do Begin d1 := d1 + 1; Di := d1*16-1; end; If d1 > 0 Then d1 := d1 - 1; D2 := Dec - d1*16; Result :=_DecHex(D1) + _DecHex(D2); end; procedure ParseString (S : TStringList; SS : String; SSS : String ); var i,l : integer; begin i := Pos(SSS,SS); l := Length(ss); If l > 1 Then begin If i=0 Then S.Add(ss); If i>0 Then begin s.Add(Copy(ss,1,i-1)); ParseString(S,Copy(ss,i+1,l-i+1),SSS) end; end; end; var SL,SF : TStringList; SS, SSS : String; i : integer; begin SS := ''; SSS := ''; SL := TStringList.Create; SF := TStringList.Create; SS := RegKeyStrParamRead ('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems','Windows'); ParseString (SL,SS,' '); for i := 0 to SL.Count - 1 do Begin SS := SL[i]; If Pos('ServerDll=base',SS) > 0 Then Begin If SS <> 'ServerDll=basesrv,1' Then Begin AddToLog('Infected "SubSystem" value : ' + SS); if MessageDLG('Fix "SybSustem" parametrs ?', mtConfirmation, mbYes+mbNo, 0) = 6 then Begin SSS := SL[i]; SL[i] := 'ServerDll=basesrv,1'; AddToLog('User select "Fix" option.'); end; end; end; end; SS := ''; for i := 0 to SL.Count - 1 do Begin SS := SS + SL[i]; If SL.Count - 1 > i Then SS := SS + ' '; end; If SSS <> '' Then Begin i := Pos(',',SSS); If i = 0 Then i := Length(SSS); SSS := Copy(SSS, Pos('=',SSS) + 1, i - Pos('=',SSS)-1); AddToLog('Infection name : ' + SSS + '.dll'); SetAVZGuardStatus(True); If FileExists('%WinDir%' + '\system32\' + SSS + '.dll') = true then DeleteFile('%WinDir%' + '\system32\' + SSS + '.dll'); SF.Add('REGEDIT4'); SF.Add(''); SF.Add('[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems]'); SSS := '"Windows"=hex(2):'; for i := 1 to Length(SS) do SSS := SSS + DecHex(Ord(Copy(SS,i,1))) + ','; SSS := SSS + '00'; SF.Add(SSS); SF.SaveToFile(GetAVZDirectory + 'fix.reg'); ExecuteFile('reg.exe','IMPORT "' + GetAVZDirectory + 'fix.reg"', 1, 10000, true); SaveLog(GetAVZDirectory + 'SubSystems.log'); RebootWindows(false); end; SL.Free; SF.Free; End.
Последний раз редактировалось akoK; 22.02.2008 в 19:49. Причина: Добавлено
Microsoft Most Valuable Professional in Consumer Security
после выполнения первого скрипта
комп выключился но больше не загрузился
как и раньше
так что пришлось восстановить baselnv32.dll
он был заранее скопирован на такой случай
неделю вот не был дома
подскажите какие мои действия?
надо ли ещё раз пробовать выполнить скрипт?
віполняйте второй скрипт .... и делайте новіе логи ...
Уважаемый(ая) deemaan, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.