не могу удалить

Printable View

10.11.2007, 19:10
ГОША

Вложений: 4

не могу удалить

Привет! у меня KIS7. при проверке находит и пишет "бнаружено: новая угроза Hidden.Object (модификация) Файл: C:\sccfg.sys" не лечится, удалить? я удаляю(пишет ,что удалится после перезагрузки). презагружаю комп проверяю опять он! и так 100 раз делал.:?
Заходил на диск "С", открывал скрытые файлы, "sccfg.sys" нет такого нигде! вот и посоветуйте, что делать с этим и что это такое!?может в логах ченить есть?спасибо!
10.11.2007, 19:19
Bratez

Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Program Files\ConnectionServices\ConnectionServices.dll','');
QuarantineFile('C:\WINDOWS\system32\drivers\rsrvmon.exe','');
QuarantineFile('C:\WINDOWS\system32\windrvNT.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\MTictwl.sys','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил.

[size="1"][color="#666686"][B][I]Добавлено через 5 минут[/I][/B][/color][/size]

Пофиксите строчку в HijackThis:
[code]O20 - Winlogon Notify: arm32reg - C:\WINDOWS\
[/code]

Макафи, я так понимаю, удалён? Тогда для зачистки хвостов выполните скрипт:
[code]
begin
BC_DeleteSvc('McDetect.exe');
BC_DeleteSvc('McTskshd.exe');
BC_DeleteSvc('mcupdmgr.exe');
BC_Activate;
RebootWindows(true);
end.[/code]
11.11.2007, 13:49
ГОША

Извиняюсь за задержку! карантин выслал, выполнил первый и второй код и Пофиксил! что дальше.??? что там с логами??

[size="1"][color="#666686"][B][I]Добавлено через 4 минуты[/I][/B][/color][/size]

O20 - Winlogon Notify: arm32reg - C:\WINDOWS\
эту строку надо было полностью вводить или только часть?
11.11.2007, 13:53
rubin

[b]not-a-virus:AdWare.Win32.BHO.kj[/b] - C:\Program Files\ConnectionServices\ConnectionServices.dll

C:\Program Files\MP3 Player Utilities 4.03\DelDrv.exe
[quote]
Panda 9.0.0.4 2007.11.10 Suspicious file
[/quote]

C:\WINDOWS\system32\windrvNT.sys
[quote]
Fortinet 3.11.0.0 2007.10.19 Misc/FolderLock
Ikarus T3.1.1.12 2007.11.11 Trojan.NtRootKit.131
McAfee 5160 2007.11.09 potentially unwanted program FolderLock
Rising 20.17.62.00 2007.11.11 RootKit.Final.a
TheHacker 6.2.9.123 2007.11.10 Trojan/Rootkit
[/quote]
11.11.2007, 13:57
Alex_Goodwin

[url]http://virusinfo.info/showthread.php?t=4491[/url]
11.11.2007, 14:40
rubin

По мнению ВирЛаба, windrvNT.sys и DelDrv.exe - чистые...
Тогда скрипт:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('C:\Program Files\ConnectionServices\ConnectionServices.dll');
BC_ImportDeletedList;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
[/code]
Для проверки повторите логи...
11.11.2007, 16:54
ГОША

Вложений: 4

все выполнил! вот логи!:)
11.11.2007, 16:58
ГОША

а вот это я и не понял! "Цитата:Panda 9.0.0.4 2007.11.10 Suspicious file "
вот карантин новый! и еще а что там насчет
"бнаружено: новая угроза Hidden.Object (модификация) Файл: C:\sccfg.sys"

в карантине MP3 плеер, его надо сносить?
11.11.2007, 17:12
Bratez

Пофиксите в HijackThis:
[code]
O2 - BHO: ConnectionServices module - {6D7B211A-88EA-490c-BAB9-3600D8D7C503} - C:\Program Files\ConnectionServices\ConnectionServices.dll (file missing)
O4 - HKLM\..\Run: [MCAgentExe] c:\PROGRA~1\mcafee.com\agent\mcagent.exe
O4 - HKLM\..\Run: [MCUpdateExe] C:\PROGRA~1\McAfee.com\Agent\McUpdate.exe
[/code]

Файл: C:\sccfg.sys в логах не фигурирует.
Сделайте дополнительный лог, как написано здесь:
[url]http://virusinfo.info/showthread.php?t=10387[/url]

[size="1"][color="#666686"][B][I]Добавлено через 40 секунд[/I][/B][/color][/size]

[quote]в карантине MP3 плеер, его надо сносить?[/quote]
Не надо.
11.11.2007, 17:48
ГОША

Вложений: 1

я не пойму,"BRATEZ" подскажи! Захожу в HiJackThis, жму туда затем туда появляется окошко в которое надо вводить [COLOR=navy](читал инструкцию все понял, что вводить не понял)[/COLOR] ,что мне вводить ?всю строку сразу [COLOR=darkorange](пример O2 - BHO: ConnectionServices module - {6D7B211A-88EA-490c-BAB9-3600D8D7C503} - C:\Program Files\ConnectionServices\ConnectionServices.dll (file missing)) [/COLOR]

[COLOR=black]так в avz4 сделал первое действие(выкладываю) , а когда делаю второе, то пишет "вставте диск avz4" :? .[/COLOR]

И самое интересное что на диске " С" появился фаил ,системный фаил "sccfg" (раньше его небыло) о как!!!что с ним делать? может его отправить на проверку в касперский!??
11.11.2007, 17:52
rubin

Ничего вводить не нужно! Нужно найти эту строчку, поставить у нее галочку, затем нажать "Fix checked"
11.11.2007, 17:53
Bratez

1. Как правильно фиксить - читаем тут:
[url]http://virusinfo.info/showthread.php?t=4491[/url]

2. Распакуйте заново ваш архив с программой AVZ.

3. Файл C:\sccfg.sys пришлите [b]по правилам[/b] как карантин через эту ссылку:
[url]http://virusinfo.info/upload_virus.php?tid=14053[/url]
11.11.2007, 21:06
ГОША

Вложений: 2

*Файл: C:\sccfg.sys в логах не фигурирует.
Сделайте дополнительный лог, как написано здесь:
[URL]http://virusinfo.info/showthread.php?t=10387[/URL]*

вот выкладываю.
11.11.2007, 21:17
rubin

1.[url=http://virusinfo.info/showthread.php?t=7239]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/url]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\system32\drivers\rsrvmon.exe','');
QuarantineFile('\??\F:\NTGLM7X.sys','');
QuarantineFile('\??\F:\NTACCESS.sys','');
QuarantineFile('\??\F:\INSTALL\GMSIPCI.SYS','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно [b]приложения 3 [url=http://virusinfo.info/showthread.php?t=1235]правил [/url][/b].
Загружать по ссылке: [url]http://virusinfo.info/upload_virus.php?tid=[/url]
11.11.2007, 21:38
ГОША

дабавление файла (по правилам) в карантин. вот что получается!!!>:(

/Oшибка карантина файла, попытка прямого чтения (sccfg.sys)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\sccfg.sys)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\system32\sccfg.sys)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (sccfg.sys)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\sccfg.sys)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\system32\sccfg.sys)/
Карантин с использованием прямого чтения - ошибка

[size="1"][color="#666686"][B][I]Добавлено через 10 минут[/I][/B][/color][/size]

закачал карантин.что дальше???

[size="1"][color="#666686"][B][I]Добавлено через 11 минут[/I][/B][/color][/size]

После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно [B]приложения 3 [URL="http://virusinfo.info/showthread.php?t=1235"]правил [/URL][/B].
Загружать по ссылке: [URL]http://virusinfo.info/upload_virus.php?tid=[/URL][/quote]

я отправил!
11.11.2007, 21:40
rubin

В карантин ничего не попало...
Поищите через AVZ файлы rsrvmon.exe, NTGLM7X.sys, NTACCESS.sys и GMSIPCI.SYS, попробуйте либо добавить их в карантин либо заархивировать их и прислать по ссылке в верху...
11.11.2007, 21:58
ГОША

через AVZ ничего не нашлось!
12.11.2007, 00:43
V_Bond

пофиксите ....
[code]
O4 - HKLM\..\Run: [rsrvmon.exe] C:\WINDOWS\system32\drivers\rsrvmon.exe
[/code]
сделайте новый лог ... HijackThis
22.02.2009, 02:50
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]4[/B][*]Обработано файлов: [B]33[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\program files\\connectionservices\\connectionservices.dll - [B]Trojan.Win32.ConnectionServices.m[/B] (DrWEB: Trojan.BitAcc)[*] c:\\program files\\mp3 player utilities 4.03\\deldrv.exe - [B]not-a-virus:RiskTool.Win32.Deleter.e[/B][/LIST][/LIST]