-
Junior Member
- Вес репутации
- 63
Помогите Errorsafe
Приветствую....парни помогите со вчерашнего вечера бъюсь с этим Errorsafom, всю ночь не спал, работать нужно, я понимаю что уже было много постов, но ни как не могу разобраться....может и еще чего помимо него есть.. (( Dr.Web Сurelt находит троян, Virtumod..лечит - он опять появляется...файлы gebcd.dll и pmnomjg.dll....
Последний раз редактировалось Димон; 14.04.2007 в 13:25.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
-
-
AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\bquocrna.dll','');
QuarantineFile('C:\WINDOWS\system32\pmnomjg.dll','');
QuarantineFile('C:\WINDOWS\system32\gebcd.dll','');
RebootWindows(true);
end.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=8993........
P.s. Зачем вам часть симантека 2003 года c:\program files\common files\symantec shared\ccpd-lc\symlcsvc.exe ? у вас же аваст стоит . Или это от какой-то другой утилиты симантека ? Есть ли что нибудь на компе от symantec ?
Последний раз редактировалось drongo; 14.04.2007 в 13:38.
-
-
Junior Member
- Вес репутации
- 63
Да нет нету от Symanteca ничего( было но я удалил видимо не совсем...а как просто всю папку эту Symantec Shared удалить?
Последний раз редактировалось Димон; 14.04.2007 в 13:47.
-
Ну это можно оставить на потом в safe mode загрузиться и убить папку .Вот ещё их родная утилита есть ftp://ftp.symantec.com/public/englis...moval_Tool.exe Главное: ваших зверьков прислать.Пришлите карантин, как сказал.
-
-
Junior Member
- Вес репутации
- 63
Карантин послал...там два файла было gebcd.dll и pmnomjg.dll в архиве посланном четыре - два ini и два dta.
Спасиб за утильку - Symantec потер.)
Последний раз редактировалось Димон; 14.04.2007 в 14:07.
-
Давай тогда третьего друга попробуем найти :
Код:
begin
SearchRootkit(true, true);
ClearQuarantine();
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\bquocrna.dll','');
BC_ImportQuarantineList;
BC_LogFile(GetAVZDirectory + 'boot_clr.log');
BC_Activate;
RebootWindows(true);
end.
boot_clr.log из папки АВЗ прикрепить к данной теме и загрузить нам карантин по ссылке как в прошлый раз.
-
-
Junior Member
- Вес репутации
- 63
-
Junior Member
- Вес репутации
- 63
AD Aware SE тоже находит что то постоянно и загружаться комп стал очень медленно...появляется фоновый рисунок и тормозит...
-
Будем удалять гадость :
1.Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )
Код:
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)
2.Выполнить :
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\bquocrna.dll');
DeleteFile('C:\WINDOWS\system32\pmnomjg.dll');
DeleteFile('C:\WINDOWS\system32\gebcd.dll');
BC_ImportALL;
ExecuteSysClean;
BC_LogFile(GetAVZDirectory + 'boot_clr.log');
BC_Activate;
RebootWindows(true);
end.
3.новые логи сделать для контроля и прикрепить.
P.S. Тут жили два варианта рекламного трояна Virtumod -вечная им память. Аминь ... http://virusinfo.info/showpost.php?p...&postcount=129
Последний раз редактировалось drongo; 14.04.2007 в 15:03.
-
-
Junior Member
- Вес репутации
- 63
Я сначала выполнил пункт 2 это не страшно? получилось профиксить после сканирования сам нашел эти строки...а когда сам вводил строки он не находил...
Последний раз редактировалось Димон; 14.04.2007 в 15:15.
-
Не страшно, главное - пункт 3 не забудьте
-
-
Junior Member
- Вес репутации
- 63
Контрольный выстрел
Ну как все впорядке? Заранее благодарен... AD-Aware все равно находит критические объекты...а Dr.Web нет...
Последний раз редактировалось Димон; 14.04.2007 в 15:35.
-
Пофиксите в HijackThis:
Код:
O2 - BHO: (no name) - {67C55A8D-E808-4caa-9EA7-F77102DE0BB6} - C:\WINDOWS\system32\bquocrna.dll (file missing)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: (no name) - {A416D604-EAA3-4618-958C-2ECA22414616} - C:\WINDOWS\system32\pmnomjg.dll (file missing)
O2 - BHO: (no name) - {F961979D-A957-4982-9B32-D13E7DFD91A9} - C:\WINDOWS\system32\gebcd.dll (file missing)
O20 - Winlogon Notify: gebcd - C:\WINDOWS\
O20 - Winlogon Notify: pmnomjg - pmnomjg.dll (file missing)
-
-
А еще драйвер остался симантековский. Можно удалить скриптом:
Код:
begin
BC_DeleteSvc('symlcbrd');
BC_Activate;
RebootWindows(true);
end.
-
-
Junior Member
- Вес репутации
- 63
re Контрольный выстрел...
Парни спасибо огроменное....выручили....
-
Junior Member
- Вес репутации
- 63
AD Aware SE все равно говорит 3 files identified...мелочь но разражает так - вчера не находил ничего(( лечит их, но после перезагрузки опять находит...
-
А что находит adaware se? а какая проблемма удалить самой adaware se?
можно поискать ссылки в реестре через АВЗ на эти 3 файла :
C:\WINDOWS\system32\bquocrna.dll
C:\WINDOWS\system32\pmnomjg.dll
C:\WINDOWS\system32\gebcd.dll
и удалить ...
http://z-oleg.com/secur/avz_doc/t_regsearch.htm
Последний раз редактировалось drongo; 14.04.2007 в 16:37.
-
-
Adaware часто находит всякую чепуху ... Может это какие-нибудь "Tracking Cookie" или что-то в этом роде - можно не обращать внимание.
А логи совершенно чистые.
-
-
Junior Member
- Вес репутации
- 63
находит какие то cookies...он их лечит а потом опять находит...