При попытке "удаления" пишет что невозможно очистить зараженный файл, к сожалению не могу приложить лог HiJackThis понимю его важность, но не взял его с работы к сожалению.
При попытке "удаления" пишет что невозможно очистить зараженный файл, к сожалению не могу приложить лог HiJackThis понимю его важность, но не взял его с работы к сожалению.
Последний раз редактировалось mrak74; 01.08.2010 в 13:21.
Virusinfo - за чистый Интернет.
Делай добро и бросай его в воду.
Проблема кажется решилась, через HiJackThis "убил" два параметра: F2 - REG:system.ini: Shell= и F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,ntsvc32. dll и заменил tcpip.sys на оригинальный с другой машины, на всякий случай прибил службу "NetDDESamSs", не знаю правльно ли ... И жалею что не взял на карантин ntsvc32.dll. Думаю тему можно закрывать. Спасибо всем тем кто хотя бы ознакомился с логами.
Virusinfo - за чистый Интернет.
Делай добро и бросай его в воду.
выполните скрипт в AVZ:Пришлите карантин ..\avz\quarantine.zip по ссылке согласно правил Прислать запрошенный карантин вверху темы.Код:begin QuarantineFile('C:\Documents and Settings\Reanimator\s87ekhv.exe',''); QuarantineFile('C:\WINDOWS\system32\geyrr.dll',''); QuarantineFile('C:\WINDOWS\system32\svshost.dll',''); QuarantineFile('C:\WINDOWS\system32\1042b.exe',''); QuarantineFile('C:\WINDOWS\system32\aspimgr.exe',''); CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
Сделайте логи virusinfo_syscheck.zip и hijacka
По результатам проверки на virustotal: s87ekhv.exe - не вирус, но я его уже удалил, svshost.dll - удалил не проверяя, 1042b.exe - удалил не проверяя, а вот geyrr.dll и aspimgr.exe постараюсь прислать, кажется я их не трогал ...
Добавлено через 39 минут
В карантин ничего не попало: ошибка прямого чтения, через BC_QrFile .... то же самое, карантин оказался пуст, по видимому я все это удалил, по результату "ручного" поиска этих файлов в системе не обнаружил.
Последний раз редактировалось mrak74; 28.06.2010 в 12:04. Причина: Добавлено
Virusinfo - за чистый Интернет.
Делай добро и бросай его в воду.
Выкладываю новые логи как вы и просили, непонимаю почему в логе до сих пор присутствует служба: "Служба сетевого DDE NetDDESamSs", в службах она действительно есть в режиме "отключена", исполняемый файл: 1042b.exe в системе не обнаружен.
E:\autorun.inf - защита от создания autorun
Последний раз редактировалось mrak74; 01.08.2010 в 13:21.
Virusinfo - за чистый Интернет.
Делай добро и бросай его в воду.
В файл hosts, я так понимаю, не вносили изменения.
Пофиксите в Hijackthis:Закройте все программы, выполните скрипт в AVZ:Код:O20 - Winlogon Notify: upsctrl0 - upsctrl0.dll (file missing)После выполнения скрипта компьютер перезагрузится! Сделайте новые логи по правилам (virusinfo_syscheck.zip и hijackthis.log)Код:begin SetAVZGuardStatus(True); DelBHO('{D11FCCFD-479A-417a-9633-CBDD600E2C6C}'); DeleteService('NetDDESamSs'); DeleteFile('C:\WINDOWS\system32\1042b.exe'); DeleteFile('C:\WINDOWS\system32\geyrr.dll'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; ExecuteRepair(13); RebootWindows(true); end.
Завтра все выполню, сегодня уже не успеваю
Virusinfo - за чистый Интернет.
Делай добро и бросай его в воду.
Скрипт выполнил, выкладываю новые логи
Virusinfo - за чистый Интернет.
Делай добро и бросай его в воду.
В файле hosts сможете лишние строчки удалить вручную?
Конечно, могу вообще его на чистый заменить ну или через spyboot прогнать возможно он тоже подредактирует. Любой из этих способов. Что убрать?
Virusinfo - за чистый Интернет.
Делай добро и бросай его в воду.
Все понял Спасибо !!! Заменю файл на чистый.
Virusinfo - за чистый Интернет.
Делай добро и бросай его в воду.
Уважаемый(ая) mrak74, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.