здравствуйте подскажите пожалуйста как мне удалить файл sulimo.dat и efsad.dll антивирус обнаружил но удалить не может а также пропала панель управления
Printable View
здравствуйте подскажите пожалуйста как мне удалить файл sulimo.dat и efsad.dll антивирус обнаружил но удалить не может а также пропала панель управления
Где 2 лога от avz ?
извините
Пофиксите в HijackThis:
[code]
O2 - BHO: (no name) - {6B93D275-72FF-469D-9A07-0AA5010FDD5B} - C:\WINDOWS\system32\efsad.dll
O20 - AppInit_DLLs: C:\WINDOWS\system32\sulimo.dat
[/code]
Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\ikf32.dll','');
QuarantineFile('C:\WINDOWS\system32\sulimo.dat','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\tcpip.sys','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\Qrt52.sys','');
QuarantineFile('C:\WINDOWS\system32\efsad.dll','');
DeleteFile('C:\WINDOWS\system32\efsad.dll');
DeleteFile('C:\WINDOWS\system32\DRIVERS\Qrt52.sys');
DeleteFile('C:\WINDOWS\system32\sulimo.dat');
DeleteFile('C:\WINDOWS\ikf32.dll');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил.
Сделайте новые логи.
большое спасибо файлы удалились но панель управления так и не появилась и не могу попасть в настройки постоянно выскакивает окно с сообщением что операции не могут быть выполненны.помогите :'-(
1. Пофиксите в HijackThis:
[code]
O2 - BHO: (no name) - {6B93D275-72FF-469D-9A07-0AA5010FDD5B} - C:\WINDOWS\system32\efsad.dll (file missing)
[/code]
2. Очистите корзину.
3. Выполните скрипт в AVZ:
[code]
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\drivers\symavc32.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\utaptytx.dat','');
DeleteFile('C:\WINDOWS\system32\drivers\symavc32.sys');
BC_ImportALL;
ExecuteSysClean;
ExecuteRepair(5);
ExecuteRepair(6);
ExecuteRepair(8);
ExecuteRepair(13);
BC_Activate;
RebootWindows(true);
end.[/code]
4. Новый карантин пришлите по правилам.
AVZ -- Восст. системы -- п.5,6,8 отметить -- выполнить.
ура:D всё появилось всё работает огромное спасибо
В первом карантине:
sulimo.dat - [b]not-virus:Hoax.Win32.Renos.lq[/b]
Qrt52.sys - [b]Rootkit.Win32.Agent.jc[/b]
efsad.dll - [b]Trojan.Win32.Delf.aim[/b]
symavc32.sys - [b]Rootkit.Win32.Agent.jc[/b]
tcpip.sys - чистый.
[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]
Еще не всё! Ждем второй карантин.
utaptytx.dat - похоже свеженький зловред.
на радостях забыл :) высылаю
Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\Windows\system32\drivers\utaptytx.dat');
BC_DeleteFile('C:\Windows\system32\drivers\utaptytx.dat');
BC_DeleteSvc('krmhbzvc');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
После перезагрузки сделайте новый комплект логов для контроля.
новый комплект логов
Вот это нужно позакрывать, если не пользуйтесь и все будет Ок.
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Remote Registry)
>> Службы: разрешена потенциально опасная служба TermService (Terminal Services)
>> Службы: разрешена потенциально опасная служба SSDPSRV (SSDP Discovery Service)
>> Службы: разрешена потенциально опасная служба Schedule ()
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Remote Desktop Help Session Manager)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>>> Безопасность: В IE разрешен запуск программ и файлов в IFRAME без запроса
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
огромное спасибо завтра буду разбираться
[b]utaptytx.dat[/b] - свежачок, будет называться [b]Rootkit.Win32.Agent.kt[/b].
А вот [b]ikf32.dll[/b] - вообще супер зверь: на virustotal.com его никто(!) даже не заподозрил, зато из вирлаба пришел ответ "New malicious software", правда название не сообщили, наверно еще не придумали ;).
Вы забыли пофиксить строчку:
[code]
O2 - BHO: (no name) - {6B93D275-72FF-469D-9A07-0AA5010FDD5B} - C:\WINDOWS\system32\efsad.dll (file missing)
[/code]
А так логи чистые.
Только вот с этим неплохо бы еще разобраться:
[code]
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Remote Registry)
>> Службы: разрешена потенциально опасная служба TermService (Terminal Services)
>> Службы: разрешена потенциально опасная служба SSDPSRV (SSDP Discovery Service)
>> Службы: разрешена потенциально опасная служба Schedule ()
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Remote Desktop Help Session Manager)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>>> Безопасность: В IE разрешен запуск программ и файлов в IFRAME без запроса
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
[/code]
Что нужно - скажите, остальное отключим.
спасибо беру тайм аут до завтра :)
@Bratez А не боишься что это ложняк (ikf32.dll)?
Уже поздно бояться ;)
И нечего делать в папке C:\WINDOWS всяким посторонним dll-кам с неясной этиологией! :D.
службы отключил, строку профиксил.спасибо
Надеюсь в курсе что это открыто :
Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
помочь закрыть ?
Чтобы уменьшить шанс заражения, на будущее :
1) Работать за компьютером с правами ограниченного пользователя.
2) Пользоваться для хождения по интернету альтернативным браузером [b]с отключёнными скриптами по умолчанию с лёгкостью разрешая доверенным сайтам выполнять скрипты [/b]([url=http://virusinfo.info/showthread.php?p=121290#post121290]Firefox[/url] и [url=http://virusinfo.info/showthread.php?t=6577]Opera[/url] это позволяют делать в отличии от IE 7 ,6....)
3) Прочитать электронную книгу "Безопасный Интернет". Универсальная защита для Windows ME - Vista": [url]http://security-advisory.newmail.ru[/url]
Вы можете нас отблагодарить, оказав нам помощь в сборе базы безопасных файлов : [url]http://virusinfo.info/showthread.php?t=3519[/url]
Мы будем Вам очень благодарны!