вирус в папке system 32

[Tata Child]

помогите пожалуйста, Нод жалуется на файл в папке windows\system 32 \termsrv.dll

[Никита Соловьев]

1. Пофиксите в hijackthis:

Код:

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\6a66641c.exe,\\?\globalroot\systemroot\system32\xJS7IhI.exe,

2. Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):

Код:

begin
 ClearQuarantine;
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 QuarantineFile('C:\WINDOWS\system32\xJS7IhI.exe','');
 QuarantineFile('C:\WINDOWS\system32\6a66641c.exe','');
 DeleteFile('C:\WINDOWS\system32\6a66641c.exe');
 DeleteFile('C:\WINDOWS\system32\xJS7IhI.exe');
 BC_ImportALL;
 ExecuteSysClean;
 BC_Activate;
 RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.
После перезагрузки пришлите попавшие в карантин файлы согласно правилам (для отправки файлов следует воспользоваться ссылкой "Прислать запрошенный карантин" над первым сообщением темы)

Сделайте новые логи

[Tata Child]

у меня в папке avz\Quarantine нет ни одного файла, логи отправлять?

[polword]

логи отправлять?

да.

+ Скачайте RSIT тут. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

[Tata Child]

все правильно?

[polword]

В логах подозрительного нет.
Еще что-нибудь беспокоит?

[Tata Child]

ну вот разве что нод ругается на этот файл в памяти, и компьютер переодический вылетает(( может проще снести винду?

Добавлено через 13 минут

и не могли бы вы посоветвать антивирь?

[polword]

- Выполните скрипт в AVZ

Код:

begin
 DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
 QuarantineFile('C:\WINDOWS\system32\termsrv.dll','');
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы

Добавлено через 31 секунду

да, сносить ничего не надо

[Tata Child]

все)

[polword]

проверьте наличие этого файла в системе

[Tata Child]

в системе? это в папке system32? если да т он там сидит при ппытке удалить перезагржает комп)

Добавлено через 3 минуты

причем нод обнаруивает их нескольо что ли (а в папке он один) по крайней мере оповещает об этом файле несколоко раз

[polword]

Пришлите файл C:\WINDOWS\system32\termsrv.dll запакованным в архив ZIP с паролем: virus по ссылке Прислать запрошенный карантин вверху темы

[Tata Child]

пишут отказано в доступе(

Добавлено через 1 час 39 минут

Добавлено через 11 часов 1 минуту

все нашла как все сделать. отправила

[polword]

- сделайте лог Combofix

[Tata Child]

.
вот лог

[polword]

- Замените файл c:\windows\system32\termsrv.dll на чистый из дистрибутива.

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.

Код:

KillAll::

File::

Driver::


Folder::
C:\found.000

Registry::

FileLook::

DirLook::

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.



Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.

[Tata Child]

мм простите а каr найти дитрибутив, я прочтиала? но к сожалению понятия не имею даже как загуглить и выбрать)))

[polword]

загрузитесь с Live CD и замените файл c:\windows\system32\termsrv.dll файлом из вложения, предварительно его распаковав.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 2
• Обработано файлов: 2
• В ходе лечения вредоносные программы в карантинах не обнаружены