самому удалить этот руткит никак-)
Printable View
самому удалить этот руткит никак-)
Лога Hijackthis не хватает.
На время выполнения скрипта, отключитесь от сети и отключите антивирусный монитор.
Программа AVZ - файл - выполнить скрипт - выполните следующий скрипт: [code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINNT\system32\1\tmksrvu.exe','');
QuarantineFile('C:\WINNT\Downloaded Program Files\eConnect.dll','');
QuarantineFile('c:\program files\common files\epson\ebapi\sagentnt.exe','');
QuarantineFile('c:\winnt\system32\gamserv\gamserv.exe','');
QuarantineFile('c:\winnt\system32\gamserv\gamscm.exe','');
QuarantineFile('Gamevlog.exe','');
QuarantineFile('c:\winnt\system32\gamserv\gamevent.exe','');
QuarantineFile('c:\program files\common files\epson\ebapi\ebrr.exe','');
QuarantineFile('c:\winnt\system32\e_ssrp03.exe','');
BC_DeleteFile('\??\C:\WINNT\System32\drivers\runtime.sys');
BC_DeleteFile('\??\C:\WINNT\System32\drivers\runtime2.sys');
BC_DeleteSVC('runtime');
BC_DeleteSVC('runtime2');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.[/code] Система будет перезагружена, после перезагрузки, карантин AVZ загрузите по ссылке [url]http://virusinfo.info/upload_virus.php?tid=13482[/url] , как написано в прил.3 [url=http://virusinfo.info/showthread.php?t=1235]правил[/url], и сделайте новые логи, включая лог Hijackthis.
Первая часть "Марлезонского" балета:
Выполнить скрипт:
[CODE]begin
BC_QrFile('C:\WINDOWS\Temp\startdrv.exe');
BC_QrFile('C:\WINDOWS\SYSTEM32\DRIVERS\RUNTIME2.SYS');
// BC_QrFile('C:\WINDOWS\system32\drivers\ip6fw.sys');
BC_DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
BC_DeleteFile('C:\WINDOWS\SYSTEM32\DRIVERS\RUNTIME2.SYS');
// BC_DeleteFile('C:\WINDOWS\system32\drivers\ip6fw.sys');
BC_DeleteSvc('runtime');
BC_DeleteSvc('runtime2');
// BC_DeleteSvc('Ip6Fw');
BC_Activate;
RebootWindows(true);
end.[/CODE]
Сделать новые логи. Загрузить карантин по ссылке вверху темы.
скриптами, частично сам дописал...вроде вырезал заразу, подождем-посмотрим что дальше.
а карантин и логи забыли? :)
сейчас высылаю.
AVZ-это гуд.
кстати что-то в этой заразе было не так... комп с ней негрузился- выскакивал синий экран, т.е. конфликт дров ядра.. так это вроде называется, это частный случай или вирусописатели ошиблись...если кому интересно, то могу выслать runtime2.sys
может кто и поковыряет его.
virusinfo_cure.rar это карантин, уберите его из сообщения.
Кстати в нем:
eConnect.dll - программа автодозвона [b]not-a-virus: Porn-Dialer.Win32.eConnect[/b]
[size="1"][color="#666686"][B][I]Добавлено через 4 минуты[/I][/B][/color][/size]
Вот скрипт для удаления:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINNT\Downloaded Program Files\eConnect.dll');
BC_DeleteFile('C:\WINNT\Downloaded Program Files\eConnect.dll');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
[size="1"][color="#666686"][B][I]Добавлено через 49 секунд[/I][/B][/color][/size]
И сделайте лог HijackThis.
а что это за автодозвон?
[quote=andyvasa;145437]а что это за автодозвон?[/quote]бабки будут утекать на платные номера , если дайл-ап по телефону.
видимо поэтому он меня и не беспокоил...
Давайте лог [B]HijackThis[/B]
И что из этого вам нужно?остальное исправим
[QUOTE]>> Службы: разрешена потенциально опасная служба RemoteRegistry (Служба удаленного управления реестром)
>> Службы: разрешена потенциально опасная служба TlntSvr (Telnet)
>> Службы: разрешена потенциально опасная служба Messenger (Служба сообщений)
>> Службы: разрешена потенциально опасная служба Alerter (Оповещатель)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>>> Безопасность: В IE разрешены автоматические запросы элементов управления ActiveX[/QUOTE]