сабжи не удаляются :(
Printable View
сабжи не удаляются :(
пофиксите ...
[code]
O3 - Toolbar: (no name) - {FAA356E4-D317-42a6-AB41-A3021C6E7D52} - (no file)
O4 - HKLM\..\Run: [KL AntiFunLove] C:\WINDOWS\system32\flcss.exe
O9 - Extra button: (no name) - DctMapping - (no file)
O20 - Winlogon Notify: arm32reg - C:\Documents and Settings\All Users\Документы\Settings\a rm32.dll
[/code]
выполните скрипт...
[code]
begin
BC_QrFile('C:\WINDOWS\Temp\startdrv.exe');
BC_QrFile('C:\WINDOWS\SYSTEM32\DRIVERS\RUNTIME2.SYS');
BC_QrFile('C:\WINDOWS\system32\drivers\ip6fw.sys');
QuarantineFile('C:\Documents and Settings\All Users\Документы\Settings\arm32.dll','');
QuarantineFile('C:\WINDOWS\system32\flcss.exe','');
DeleteFile('C:\WINDOWS\system32\flcss.exe');
DeleteFile('C:\Documents and Settings\All Users\Документы\Settings\arm32.dll');
BC_DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
BC_DeleteFile('C:\WINDOWS\SYSTEM32\DRIVERS\RUNTIME2.SYS');
BC_DeleteFile('C:\WINDOWS\system32\drivers\ip6fw.sys');
BC_DeleteSvc('runtime');
BC_DeleteSvc('runtime2');
BC_DeleteSvc('Ip6Fw');
BC_DeleteSvc('FCI');
BC_ImportAll;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил...
повторите логи...
А вы уверены что делали сканирование по инструкции :
[url]http://virusinfo.info/showthread.php?t=12112[/url]
drongo
нет некоторых галок не было.
и теперь все сначала? или сделать что указал V_Bond?
только скажите плиз что такое пофиксить?
[URL="http://virusinfo.info/forumdisplay.php?f=70"]Что значит "пофиксить с помощью HijackThis"?[/URL]
[URL="http://virusinfo.info/showthread.php?t=7239"]Как выполнить скрипт в AVZ[/URL]
извиняюсь не дошел сразу до финиша в правилах.
выслал архив но один файл из карантина не попал (он во вчерашнем числе остался). его тоже сохранил - высылать?
пофиксите ....
[code]
O4 - HKLM\..\Run: [startdrv] C:\WINDOWS\Temp\startdrv.exe
O20 - Winlogon Notify: arm32reg - C:\WINDOWS\
[/code]
выполните [url]http://virusinfo.info/showthread.php?t=8877[/url]
повторите логи...
из попавших в карантин ....
C:\WINDOWS\system32\flcss.exe
[code]
AhnLab-V3 2007.10.27.0 2007.10.26 -
AntiVir 7.6.0.30 2007.10.26 -
Authentium 4.93.8 2007.10.26 [B]could be infected with an unknown virus[/B]
Avast 4.7.1074.0 2007.10.27 -
AVG 7.5.0.503 2007.10.27 [B]Generic3.PMK[/B]
BitDefender 7.2 2007.10.27 -
CAT-QuickHeal 9.00 2007.10.26 -
ClamAV 0.91.2 2007.10.27 -
DrWeb 4.44.0.09170 2007.10.27 -
eSafe 7.0.15.0 2007.10.22 -
eTrust-Vet 31.2.5244 2007.10.26 -
Ewido 4.0 2007.10.27 -
FileAdvisor 1 2007.10.27 [B]High threat detected[/B]
Fortinet 3.11.0.0 2007.10.19 -
F-Prot 4.3.2.48 2007.10.26 -
F-Secure 6.70.13030.0 2007.10.27 [B]W32/Malware.AMLK[/B]
Ikarus T3.1.1.12 2007.10.27 -
Kaspersky 7.0.0.125 2007.10.27 -
McAfee 5150 2007.10.26 -
Microsoft 1.2908 2007.10.27 -
NOD32v2 2620 2007.10.27 [B]probably unknown NewHeur_PE [/B]virus
Norman 5.80.02 2007.10.26 [B]W32/Malware.AMLK[/B]
Panda 9.0.0.4 2007.10.27 [B]Suspicious file[/B]
Prevx1 V2 2007.10.27 -
Rising 19.46.51.00 2007.10.27 -
Sophos 4.23.0 2007.10.27 -
Sunbelt 2.2.907.0 2007.10.27 -
Symantec 10 2007.10.27 -
TheHacker 6.2.9.110 2007.10.27 -
VBA32 3.12.2.4 2007.10.26 -
VirusBuster 4.3.26:9 2007.10.27 -
Webwasher-Gateway 6.6.1 2007.10.27 -
[/code]
C:\Documents and Settings\All Users\Документы\Settings\arm32.dll
[code]
AhnLab-V3 2007.10.27.0 2007.10.26 -
AntiVir 7.6.0.30 2007.10.26 [B]TR/Crypt.XPACK.Gen[/B]
Authentium 4.93.8 2007.10.26 -
Avast 4.7.1074.0 2007.10.27 [B]Win32:Xorpix-U[/B]
AVG 7.5.0.503 2007.10.27 [B]Obfustat.PKT[/B]
BitDefender 7.2 2007.10.27 -
CAT-QuickHeal 9.00 2007.10.26 -
ClamAV 0.91.2 2007.10.27 [B]PUA.Packed.UPack[/B]
DrWeb 4.44.0.09170 2007.10.27 [B]Trojan.Proxy.2338[/B]
eSafe 7.0.15.0 2007.10.22 [B]suspicious Trojan/Worm[/B]
eTrust-Vet 31.2.5244 2007.10.26 -
Ewido 4.0 2007.10.27 -
FileAdvisor 1 2007.10.27 -
Fortinet 3.11.0.0 2007.10.19 [B]PossibleThreat[/B]
F-Prot 4.3.2.48 2007.10.26 -
F-Secure 6.70.13030.0 2007.10.27 -
Ikarus T3.1.1.12 2007.10.27 [B]Trojan-Spy.Win32.Bancos.ha[/B]
Kaspersky 7.0.0.125 2007.10.27 -
McAfee 5150 2007.10.26 -
Microsoft 1.2908 2007.10.27 -
NOD32v2 2620 2007.10.27 a[B] variant of Win32/TrojanProxy.Xorpix.BS[/B]
Norman 5.80.02 2007.10.26 [B]W32/Suspicious_U.gen[/B]
Panda 9.0.0.4 2007.10.27 [B]Trj/Xorpix.AW[/B]
Prevx1 V2 2007.10.27 -
Rising 19.46.51.00 2007.10.27 -
Sophos 4.23.0 2007.10.27 [B]Mal/Packer[/B]
Sunbelt 2.2.907.0 2007.10.27 [B]VIPRE.Suspicious[/B]
Symantec 10 2007.10.27 [B]Backdoor.Eterok.C[/B]
TheHacker 6.2.9.110 2007.10.27 [B]W32/Behav-Heuristic-060[/B]
VBA32 3.12.2.4 2007.10.26 [B]Trojan.Proxy.2338[/B]
VirusBuster 4.3.26:9 2007.10.27 [B]Packed/Upack[/B]
Webwasher-Gateway 6.6.1 2007.10.27 [B]Trojan.Crypt.XPACK.Gen[/B]
[/code]
эти два файла удалить значит нужно?
вот новые логи.
[quote]эти два файла удалить значит нужно?[/quote]
Они уже удалены.
[url=http://virusinfo.info/showthread.php?t=4491]Пофиксте[/url] в HijackThis следующую строку:
[quote]
F2 - REG:system.ini: Shell=explorer.exe ,svchost.exe
[/quote]
готово! можно идти спать со спокойной душой? :)
Можно.
А еще неплохо бы отключить все ненужное из этого списка:
[code]
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>>> Безопасность: В IE разрешено использование ActiveX, не помеченных как безопасные
>>> Безопасность: В IE разрешена загрузка подписанных элементов ActiveX без запроса
>>> Безопасность: В IE разрешена загрузка неподписанных элементов ActiveX
>>> Безопасность: В IE разрешены автоматические запросы элементов управления ActiveX
>>> Безопасность: В IE разрешен запуск программ и файлов в IFRAME без запроса
[/code]
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]10[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\documents and settings\\all users\\документы\\settings\\arm32.dll - [B]Trojan-Proxy.Win32.Xorpix.ch[/B] (DrWEB: Trojan.Proxy.2338)[/LIST][/LIST]