та же беда
та же беда
Выполнить:
Загрузить карантин. Сделать новые логи.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('%windir%\temp\sso\ssoexec.dll',''); QuarantineFile('C:\WINDOWS\svchost.exe',''); QuarantineFile('UsrLogon.Cmd',''); DeleteFile('C:\WINDOWS\svchost.exe'); // DeleteFile('%windir%\temp\sso\ssoexec.dll'); DeleteFile('E:\autorun.inf'); DeleteFile('D:\autorun.inf'); DeleteFile('C:\autorun.inf'); DeleteFile('F:\autorun.inf'); DeleteFile('D:\copy.exe'); DeleteFile('C:\copy.exe'); DeleteFile('E:\copy.exe'); DeleteFile('F:\copy.exe'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Добавлено через 1 минуту
Отключить через мастер решения проблем:
>> Разрешен автозапуск с HDD
>> Разрешен автозапуск с сетевых дисков
>> Разрешен автозапуск со сменных носите
Последний раз редактировалось PavelA; 27.03.2008 в 12:39. Причина: Добавлено
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
немного не понял :
""Отключить через мастер решения проблем:
>> Разрешен автозапуск с HDD
>> Разрешен автозапуск с сетевых дисков
>> Разрешен автозапуск со сменных носите""
Где взять этого мастера?
И надо ли это проделывать на всех трёх компах (темы temp2.exe, temp2.exe третий комп)? Спасибо
Это вот так:
AVZ => Файл => Мастер поиска и устранения проблем. Категория проблемы - поставьте "Системные проблемы", степень опасности - "Все проблемы". Нажмите "Пуск". Всё найденное следует пометить и пофиксить. Данную операцию повторить для категории "Настройки и твики браузера".
Вы бы сначала с первым разобрались компьютером,так врядли толком что получится,компьютеры от сети отключать иначе все будет возвращаться с зараженных машин.
Спасибо за понимание.
Эти компы расположены сейчас далеко от меня и в интернет доступа у них нету, так что по одному с ними разбираться не получиться. Мне придётся ехать туда, делать все сразу, а потом пришлю все карантины и логи.
Добавлено через 2 минуты
И отпишитесь пожалуйста по поводу третьего компа. Заранее Спасибо!
Последний раз редактировалось Rednebz; 27.03.2008 в 13:30. Причина: Добавлено
После вышеописанных действий вместо ошибки temp2.exe начаали вылезать сначала: "windows не удалось найти C:Windows\svchost.exe, попробуйте через поиск", а за ней: " Не удаётся загрузить С:.... svchost.exe, ссылка на который присутствует в реестре. Если файл не существует удалите эту ссылку".
Вот логи
Логи снимал, когда компы от сетки были отключены.
Вот скриптик для него:
После этой операции еще разок повторить все логи.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('C:\WINDOWS\svchost.exe'); DeleteFile('%windir%\temp\sso\ssoexec.dll'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
По Симантеку C:\WINDOWS\svchost.exe Trojan Horse
Последний раз редактировалось PavelA; 08.04.2008 в 11:28.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Эээ... по симан... чему? Последнюю строчку недопонял)
Добавлено через 3 минуты
И что-таки делать с вылезающими ошибками svchost?
Последний раз редактировалось Rednebz; 08.04.2008 в 15:50. Причина: Добавлено
Это название того, что там сидело.
Trojan-Dropper.Win32.Small.apl по Касперскому.
После последнего скрипта ошибки должны исчезнуть.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Cкрипты выполнил, а ошибки остались - "windows не удалось найти C:Windows\svchost.exe, попробуйте через поиск", а за ней: " Не удаётся загрузить С:.... svchost.exe, ссылка на который присутствует в реестре. Если файл не существует удалите эту ссылку". Что делать?
Вот логи.
В сетке три компа.
пофиксите ...
выполните скрипт ....Код:F3 - REG:win.ini: load=C:\WINDOWS\svchost.exe F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,%windir%\system32\userinit.exe, O20 - Winlogon Notify: SSOExec - %windir%\temp\sso\ssoexec.dll (file missing)
Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('%windir%\temp\sso\ssoexec.dll'); DeleteFile('C:\WINDOWS\svchost.exe'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Ошибки исчезли, вот логи
рекомендации теже ... сделать логи новой версией авз ...
Да! Больше логов!
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 7
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\svchost.exe - Trojan-Dropper.Win32.Small.apl (DrWEB: Trojan.MulDrop.4181)
Уважаемый(ая) Rednebz, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.