-
Junior Member
- Вес репутации
- 63
Необходимо долечить после Win32.HLLM.Wukill и Limar
Доброго времени суток
Есть две установленные системы:
1. XP появлялись файлы: папка в корне диска WINFILE и копируется на любой диск и папка с документами как приложение. Проверка и что можно излечили Доктором Вебом, после лечения не запускается Internet Explorer пишет нет файла библиотеки msvcrl.dll. Удаление и последующая установка Internet Explorer не решает проблему, другого браузера нет. Эти симтопы уже описывались в теме , название не помну, но скрипт не стал использовать, надеюсь что правильно не использовал.
Проверку выполнил согласно требований.
Последний раз редактировалось АлексейН; 05.04.2007 в 13:23.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Junior Member
- Вес репутации
- 63
Название темы
Не удаляется Win32.HLLM.Limar
Симптомы похожие не все
-
Разделите пожалуйста темы, 3 лога в каждой теме.
-
-
Junior Member
- Вес репутации
- 63
-
В AVZ выполнить скрипт.
Код:
begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
QuarantineFile('C:\WINDOWS\Mstray.exe','');
RebootWindows(true);
end.
Карантин прислать после перезагрузки по правилам. Ссылка на загрузку вверху страницы.
Последний раз редактировалось PavelA; 14.03.2007 в 11:37.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 63
Необходимо перезагрузиться, сделаю.
-
Junior Member
- Вес репутации
- 63
Выполнил карантин пустой, создана папка с сегодняшней датой а внутри пусто.
Если не ошибаюсь Веб находил его и кажется удалил
-
Junior Member
- Вес репутации
- 63
Internet Explorer все равно не запускается пишет нет файла билиотеки msvcrl.dll попробуйте переустановку
-
Чтобы вылечить IE можно воспользоваться утилитой haxfix
http://users.telenet.be/marcvn/tools/haxfix.exe
-
-
Junior Member
- Вес репутации
- 63
Скачал буду пробовать результат сообщу
-
Junior Member
- Вес репутации
- 63
Еще вопрос
папка WINFILE копируется на каждый диск и создается папка с названием документов как приложение, были созданы по сети на другом компе, AVZ нашел ,вручную поудалял, Avz не находит, возможно появление таких же симтомов после перезагрузки компа, или достаточно было удалить исходный Mstray.exe
-
mstray.exe - Email-Worm.Win32.Rays
Это гуляющий по локальной сети вирус.
1. Расшаренные папки на компьютере закрыть.
2. в AVZ выполнить усиленный скрипт
Код:
begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
QuarantineFile('C:\WINDOWS\Mstray.exe','');
BC_ImportQuarantineList;
BC_LogFile(GetAVZDirectory + 'boot_clr.log');
BC_Activate;
RebootWindows(true);
end.
Прислать карантин и boot_clr.log из директории AVZ.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
И Доктором диски зачистите от Rays-Wukill. Включая дискеты и флэшки. Этот гад ползучий даже в фотоаппаратах обнаруживается.
-
-
Junior Member
- Вес репутации
- 63
begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
QuarantineFile('C:\WINDOWS\Mstray.exe','');
BC_ImportQuarantineList;
BC_LogFile(GetAVZDirectory + 'boot_clr.log');
BC_Activate;
RebootWindows(true);
end.
Сделал посылаю
УрААААА!! Internet Explorer заработал, посылаю с того диска где установлена XP
Последний раз редактировалось АлексейН; 05.04.2007 в 13:23.
-
Junior Member
- Вес репутации
- 63
Прислать карантин и boot_clr.log из директории AVZ.[
А куда присылать карантин? есть два файла.
http://virusinfo.info/upload_virus.php?tid=8407
работает только для zip.файлов. А ведь карантин попросили
-
Это haxfix придушил зверя. В карантин, похоже ничего не попало.
В Менеджере автозапуска удалить строчку с Mstray.exe.
Сделать новые логи для проверки.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 63
В Менеджере автозапуска удалить строчку с Mstray.exe.
Сделать новые логи для проверки.
Сделал все это
посылаю
Еще вопрос как быть с другой машиной подключенной по сети
также сделать логи и прислать?????
Последний раз редактировалось АлексейН; 17.05.2007 в 13:34.
-
Конечно, нужны логи. Если эта не та (с ХР), то в другую тему.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
А там своя тема. Скажут, когда надо будет.
В логах вроде чисто. Диски Доктором просканировали?
-
-
На этой машине надо найти wmplayer.exe и проверить его на virustotal.com
Можно поискать его через AVZ, добавить в карантин и залить сюда. Есть подозрение, что он подменен.
В HijackThis профиксить строчку:
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = wmplayer.exe //ICWLaunch
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-