Здравствуйте, помогите пожалуйста избавиться от червей в системе.
С уважением, Mikos.
Здравствуйте, помогите пожалуйста избавиться от червей в системе.
С уважением, Mikos.
Последний раз редактировалось Mikos; 24.12.2006 в 18:54.
Да, уж
Пришлите по правилам :
C:\WINDOWS\system32\svchosts.exe
C:\WINDOWS\system32\drvdih.dll
C:\DOCUME~1\Mikos\LOCALS~1\Temp\Rar$EX00.266\MailT ime.exe
c:\Bookshelf.TR\TRBookshelf_.dll.button.js
C:\WINDOWS\SYSTEM32\winosz32.dll
\SystemRoot\System32\Drivers\aexaxn1k.SYS
\SystemRoot\system32\DRIVERS\irstusb.sys
\SystemRoot\System32\Drivers\PStrip.SYS
C:\WINDOWS\system32\drvdih.dll
C:\WINDOWS\system32\vp7dec_settings.cpl
C:\WINDOWS\system32\nvtuicpl.cpl
C:\PROGRA~1\McAfee\SPAMKI~1\mskoeplg.dll
C:\WINDOWS\Downloaded Program Files\gsda.dll
C:\WINDOWS\system32\nvshell.dll
C:\WINDOWS\LIVING~1.SCR
c:\program files\powerstrip\pstrip.exe
Последний раз редактировалось drongo; 21.12.2006 в 23:09.
*Нажми и выполни, если хочешь чтобы помощь улучшилась и ускорилась
*MyFirefox Portable
special avz @ rapidshare.com
md5: 2091925798B7909E010E3F7E328C5F0D
Закачал
По классификации DrWeb:
C:\WINDOWS\system32\svchosts.exe - является рекламной программой Adware.Macfa
C:\WINDOWS\system32\drvdih.dll - Trojan.Fakealert
C:\WINDOWS\Downloaded Program Files\gsda.dll - вляется рекламной программой Adware.GameSpy
Программа AVZ - файл - выполнить скрипт - выполните следующий скрипт:
Система перезагрузится. После перезагрузки загрузите содержимое карантина, если что-то в нем окажется, и сделайте новые логи (п.п. 10 - 13 правил)begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\SYSTEM32\winosz32.dll', '');
DeleteFile('C:\WINDOWS\Downloaded Program Files\gsda.dll');
DeleteFile('C:\WINDOWS\system32\drvdih.dll');
DeleteFile('C:\WINDOWS\system32\svchosts.exe');
ExecuteSysClean;
RebootWindows(true);
end.
Всё сделал так, как и сказали,но увы...пока воз и ныне там.
Последний раз редактировалось Mikos; 24.12.2006 в 18:54.
Файл
C:\WINDOWS\system32\svchosts.exe
выжил.
Пофиксте в HijackThis следующие строки:
1. Закройте все программы.Код:O2 - BHO: Bar888 - {C1B4DEC2-2623-438e-9CA2-C9043AB28508} - C:\PROGRA~1\COMMON~1\{3C427~1\Bar888.dll O3 - Toolbar: Bar888 - {C1B4DEC2-2623-438e-9CA2-C9043AB28508} - C:\PROGRA~1\COMMON~1\{3C427~1\Bar888.dll O16 - DPF: {70BA88C8-DAE8-4CE9-92BB-979C4A75F53B} (GSDACtl Class) - http://launch.gamespyarcade.com/software/launch/alaunch.cab
2. Запустите AVZ.
3. Включите AVZGuard.
4. Удалите файл:
C:\WINDOWS\system32\svchosts.exe
через AVZ меню Файл->«Отложенное удаление».
5. Меню Сервис - Диспетчер служб и драйверов - удалите службу "COM+ Messages"
6. Перезагрузите компьютер, не выходя из AVZ и не выключая AVZ Guard.
Всё сделал как велели,перезагрузился но...опять эта сволочь Эрорсофт выскочила!!
Что делать?
Сделайте, пожалуйста, новые логи (п.п 10 - 13 правил)
Вот, пожалуйста.
Последний раз редактировалось Mikos; 24.12.2006 в 18:54.
Остался последний подозреваемый.
AVZ - Файл - Выполнить скрипт:
Код:begin SetAVZGuardStatus(true); QuarantineFile('C:\WINDOWS\SYSTEM32\winosz32.dll','Backup copy'); DeleteFile('C:\WINDOWS\SYSTEM32\winosz32.dll'); RebootWindows(true); end.
Нну...что я могу сказать...вероятно что-то гадкое и удаляется, но проблема остаётся прежней...эрорсофт выскакивает после каждой перезагрузки, McAfee переодически сигнализирует о троянах...вообщем в очередной раз прикладываю файлы...
Последний раз редактировалось Mikos; 24.12.2006 в 18:54.
Вот это лишнее
C:\WINDOWS\system32\svchosts.exe
Ну волшебно..., но как мне это удалить?
Выполните скриптПолучившийся карантин пришлите.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('c:\program files\paperquote\pqtray.exe',''); QuarantineFile('C:\WINDOWS\LIVING~1.SCR',''); QuarantineFile('rundll32.exe C:\WINDOWS\system32\drvfuk.dll,startup',''); QuarantineFile('winosz32.dll',''); DeleteFile('C:\Program Files\Apple Software Update\SoftwareUpdate.exe'); DeleteFile('winosz32.dll'); DeleteFile('rundll32.exe C:\WINDOWS\system32\drvfuk.dll,startup'); DeleteFile('C:\WINDOWS\LIVING~1.SCR'); DeleteFile('c:\windows\system32\svchosts.exe'); DeleteFile('c:\program files\paperquote\pqtray.exe'); ExecuteSysClean; RebootWindows(true); end.
Пофиксите в HijackThis строки
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O3 - Toolbar: Bar888 - {C1B4DEC2-2623-438e-9CA2-C9043AB28508} - C:\PROGRA~1\COMMON~1\{3C427~1\Bar888.dll (file missing)
O4 - HKLM\..\Run: [CTDrive] rundll32.exe C:\WINDOWS\system32\drvfuk.dll,startup
O20 - Winlogon Notify: winosz32 - winosz32.dll (file missing)
Всё сделал, перезагрузился, вроде тишина пока...)))))Карантин выслал
В любом случае, даже если это не всё и продолжение следует, огромное преогромное СПАСИБО, дай Вам Бог здоровья, добрые вы люди
Сделайте логи для контроля еще раз
Сделал.
Пофиксите:
Код:O23 - Service: COM+ Messages - Unknown owner - C:\WINDOWS\system32\svchosts.exe" -e mc-110-12-0000272 (file missing)
Пофиксил, всё сделал)Вроде всё в порядке) Ещё раз большое спасибо всем, кто помог мне решить проблему!))
Уважаемый(ая) Mikos, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.