неубиваемый файл в /system32
после удаления моментально восстанавливает себя
есть идеи что это и как избавиться?
win serv 2003 r2
неубиваемый файл в /system32
после удаления моментально восстанавливает себя
есть идеи что это и как избавиться?
win serv 2003 r2
http://virusinfo.info/showthread.php?t=1235
Сделайте virusinfo_syscheck.zip и лог hijackthis
ОК В понедельник пришлю.
А заодно и это проделайте http://support.kaspersky.ru/kis2009/error?qid=208636215
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Вот лог Hijackthis и отчет AVZ
Пофиксите в hijackthis:
Выполните скрипт в AVZ:Код:F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,
После выполнения скрипта компьютер перезагрузится!!!Код:begin ClearQuarantine; SetAVZGuardStatus(true); QuarantineFile('C:\WINDOWS\system32\yoqmm.cc3',''); QuarantineFile('C:\WINDOWS\system32\WmdmPmSN.cmd',''); DeleteService('darksheii'); QuarantineFile('C:\WINDOWS\system32\drivers\morjqn.sys',''); DeleteService('amsint32'); QuarantineFile('c:\windows\system32\wmdmpmsn.cmd',''); QuarantineFile('c:\windows\system32\yoqmm.cc3',''); DeleteFile('c:\windows\system32\yoqmm.cc3'); DeleteFile('c:\windows\system32\wmdmpmsn.cmd'); DeleteFile('C:\WINDOWS\system32\drivers\morjqn.sys'); DeleteFile('C:\WINDOWS\system32\WmdmPmSN.cmd'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\WmdmPmSN\Parameters','ServiceDll'); DeleteFile('C:\WINDOWS\system32\yoqmm.cc3'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\HidServ\Parameters','ServiceDll'); BC_ImportALL; ExecuteSysClean; ExecuteWizard('TSW',2,3,true); BC_Activate; RebootWindows(False); end.
Выполните скрипт:
Файл quarantine.zip загрузите по ссылке прислать запрошенный карантин.Код:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
Сделайте новые логи
ОК Сегодня займусь.
Добавлено через 6 часов 20 минут
Выполнили скрип. Результат впечатляет. Легли все пользователи, включая администратора. На сервер не пускает. Что делать в этой ситуации?
Последний раз редактировалось mankiz; 05.10.2010 в 14:20. Причина: Добавлено
В папке avz4\Backup\ есть бакапы реестра после работы AVZ, попробуйте их импортировать в свою систему.
Но для начала в livecd можно проверить значение параметра Userinit реестра
там должно быть C:\WINDOWS\system32\userinit.exe, ( с запятой)Код:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Последний раз редактировалось light59; 06.10.2010 в 10:45.
Проблема действительно оказалось в userinit Правка этой ветки реестра помогла. И да, этот пакостный файл yoqmm.cc3 исчез. Спасибо за скрипт.
Новый файлик с логами AVZ
Выполните скрипт в AVZ (зачистка мелкого мусора):
Больше ничего плохого не видно.Код:begin RegKeyParamDel('HKEY_USERS','S-1-5-21-364228625-2339334119-87826242-1031\Software\Microsoft\Windows\CurrentVersion\Run','explorer'); RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','Google Update'); RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','Google Update'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Run','Google Update'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\MediaCenter\Parameters','ServiceDll'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\MediaUpdateService\Parameters','ServiceDll'); RegKeyParamDel('HKEY_USERS','S-1-5-21-364228625-2339334119-87826242-1031\Software\Microsoft\Windows\CurrentVersion\Run','FileSystem'); end.
I am not young enough to know everything...
Вроде сервак получше себя стал чувствовать. Спасибо всем, кто помог.
Уважаемый(ая) mankiz, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.