обнаружено: троянская программа Trojan-Downloader.Win32.Delf.dbo Файл: C:\WINDOWS\system32\adsnd.dll//PE_Patch.UPX//UPX
Printable View
обнаружено: троянская программа Trojan-Downloader.Win32.Delf.dbo Файл: C:\WINDOWS\system32\adsnd.dll//PE_Patch.UPX//UPX
1.В avz [URL="http://virusinfo.info/showthread.php?t=7239"]выполнить скрипт[/URL]:
[CODE]
begin
QuarantineFile('%WinDir%\Temp\startdrv.exe','');
QuarantineFile('%Windir%\system32\drivers\runtime.sys','');
QuarantineFile('%Windir%\system32\drivers\runtime2.sys','');
QuarantineFile('%Windir%\system32\drivers\ip6fw.sys','');
DeleteFile('%Windir%\Temp\startdrv.exe');
DeleteFile('%Windir%\system32\drivers\runtime2.sys');
DeleteFile('%Windir%\system32\drivers\runtime.sys');
BC_DeleteSvc('runtime');
BC_DeleteSvc('runtime2');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/CODE]
Компьютер перезагрузится.
2.В avz [URL="http://virusinfo.info/showthread.php?t=7239"]выполнить скрипт[/URL]:
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('fire.scr','');
QuarantineFile('C:\WINDOWS\system32\svchf8x.dll','');
QuarantineFile('C:\WINDOWS\system32\spoolvs.exe','');
QuarantineFile('C:\WINDOWS\system32\SiSPower.dll','');
QuarantineFile('\SystemRoot\system32\drivers\kxraunwa.dat','');
QuarantineFile('C:\WINDOWS\system32\adsnd.dll','');
DeleteFile('C:\WINDOWS\system32\adsnd.dll');
DeleteFile('C:\WINDOWS\system32\svchf8x.dll');
DeleteFile('C:\WINDOWS\system32\spoolvs.exe');
BC_ImportALL;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
[/CODE]
Компьютер перезагрузится.
3.[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксить[/URL] в HiJackThis (Что останется)
[CODE]
O2 - BHO: (no name) - {D6F1D861-0407-49C2-BEF2-D9F175F7485E} - C:\WINDOWS\system32\adsnd.dll
O3 - Toolbar: Starware Screensavers Toolbar - {9FB3908C-6565-4CB0-95F8-E9F85258723C} - (no file)
O4 - HKLM\..\Run: [startdrv] C:\WINDOWS\Temp\startdrv.exe
O4 - HKCU\..\Run: [Spoolsv] C:\WINDOWS\system32\spoolvs.exe
O4 - HKUS\S-1-5-21-299502267-562591055-725345543-1003\..\Run: [Spoolsv] C:\WINDOWS\system32\spoolvs.exe (User '?')
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} -
O20 - AppInit_DLLs: C:\WINDOWS\system32\svchf8x.dll
O23 - Service: Panda Process Protection Service (PavPrSrv) - Unknown owner - C:\Program Files\Common Files\Panda Software\PavShld\pavprsrv.exe (file missing)
[/CODE]
4.Выслать карантин согласно приложению 3 [URL="http://virusinfo.info/showthread.php?t=1235"]правил[/URL]
5.Повторить логи
Надеюсь, что все сделано правильно :)!
Спасибо огромное за помощь!:appl:
c:\windows\system32\adsnd.dll [B]Trojan-Downloader.Win32.Delf.dbo[/B]
C:\WINDOWS\system32\drivers\kxraunwa.dat [B]Rootrit.Win32.Agent.pk[/B]
выполните скрипт ...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('c:\windows\system32\adsnd.dll');
DeleteFile('C:\WINDOWS\system32\drivers\kxraunwa.dat');
BC_ImportDeletedList;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
[/code]
пофиксите
[code]
O2 - BHO: (no name) - {D6F1D861-0407-49C2-BEF2-D9F175F7485E} - C:\WINDOWS\system32\adsnd.dll (file missing)
[/code]
повторите логи ....
То что вы делаете - это реальная помощь....:00000465::ballon:
Только у меня не было в списке:
O2 - BHO: (no name) - {D6F1D861-0407-49C2-BEF2-D9F175F7485E} - C:\WINDOWS\system32\adsnd.dll (file missing)
это нормально?
повторяю логи...
P.S. еще вопрос... как быть теперь с восстановлением системы, оно же было отключено согласно пункту [B][COLOR=#a52a2a]7. [/COLOR][/B](Отключите восстановление системы (Windows Me/XP). [I]*смотрите далее Приложение 1.). Нужно вернуть настройки обратно?[/I]
в логах теперь чисто ....
восстановление системы можно включить ...
УРРРРРРРАААААААААА........!!!!!!!!:2jump::L:00000463::sunny:радость переполняет меня :)!
СПАСИБО ЕЩЕ РАЗ за помощь!!!! :remybussi ЭТО КРУТО!
вот уж не думала, что мне кто-то поможет :girlwink:!
теперь можно просто пользоваться касперским?
или нужно еще что-то делать, чтобы быть в полной уверенности, что комп чист?????
кстати, у меня уже давно выскакивает сообщение при выключении компа "СБОЙ ПРИ ИНИЦИАЛИЗАЦИИ СИСТЕМЫ" со звуком "ТАМ!"... а потом звук выключения винды та-да-да-дам...
что это может быть???? ЭТО СТРАШНО?????
СБОЙ ПРИ ИНИЦИАЛИЗАЦИИ СИСТЕМЫ .... дальше должно идти имя файла какое ?
система не может остановить какое-то приложение ...
я сейчас перезагружу комп и посмотрю что он мне там пишет!
[size="1"][color="#666686"][B][I]Добавлено через 14 минут[/I][/B][/color][/size]
хм :/.... по ходу это сообщение (СБОЙ ПРИ ИНИЦИАЛИЗАЦИИ СИСТЕМЫ ) больше не появляется! УРАААААА.......!!!! Не знаю что и сказать! Спасибо :)! Наверное мы окончательно здоровы! тьфу... тьфу... тьфу.. чтобы не сглазить ;)!
[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]
хм :/.... по ходу это сообщение (СБОЙ ПРИ ИНИЦИАЛИЗАЦИИ СИСТЕМЫ ) больше не появляется! УРАААААА.......!!!! Не знаю что и сказать! Спасибо :)! Наверное мы окончательно здоровы! тьфу... тьфу... тьфу.. чтобы не сглазить ;)!
[size="1"][color="#666686"][B][I]Добавлено через 14 минут[/I][/B][/color][/size]
ах :(... рано обрадовалась.. решила еще раз перезагрузить комп и выскачило сообщение "сбой при инициализации приложения..." а дальше не успеваю прочитать.... очень быстро табличка выскакивает и выключается комп...
что делать? :(
не думаю что это что-то плохое .... так система может ругаться например на.... антивирус ...
:nottosleeпонятненько....
у вас тут конечно очень хорошо... но лучше не иметь нужды к вам обращаться ;)!
но у меня тут опять вопрос :( созрел! я запустила касперского сделала полную проверку всего компа и у меня (при включеном каспере) перестал запускаться Exploler :(. Выключаю каспера - все нормально. вот и сейчас пришлось выключить каспера, чтобы вам написать. иииииии...... КАК БЫТЬ!? ПОМОГИТЕ! ПЛИЗЗЗЗЗЗЗ........ :help::stars::plach: Вся надежда на вас :pray:!!!!!
В логах помимо Каспера еще видны куски Симантека и даже Панды. Надо бы это зачистить... Сейчас напишу скрипт.
[size="1"][color="#666686"][B][I]Добавлено через 5 минут[/I][/B][/color][/size]
Вот скрипт, выполните его в безопасном режиме:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcnet.dll');
DeleteFile('C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe');
DeleteFile('C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe');
DeleteFile('C:\WINDOWS\system32\drivers\symlcbrd.sys');
BC_ImportDeletedList;
BC_DeleteSvc('PavPrSrv');
ExecuteSysClean;
ExecutRepair(5);
ExecutRepair(6);
ExecutRepair(8);
BC_Activate;
RebootWindows(true);
end.[/code]
а как это в безопасном режиме?
[quote]а как это в безопасном режиме?[/quote]
[url]http://virusinfo.info/showthread.php?t=9279[/url]
Когда включает компьютер, давите F8. Если попадете, то высветится меню с вариантами. Надо выбрать там "Safe Mode" или "защищ. режим".
В "Панели управление" "установка и удаление программ" посмотрите не осталось ли там остатков Панды и Симантека. Если что-то осталось, то деинсталлировать.
спасибо! буду действовать :)!
[size="1"][color="#666686"][B][I]Добавлено через 56 минут[/I][/B][/color][/size]
в безопасном режиме не удалось выполнить скрипт :(.
пишет:
Ошибка скрипта: Undeclared identifier: 'ExecutRepair', позиция [11:13]
В "установка и удаление программ" ничего не нашла, ни Панды, ни Симантека.
При запуске Exploler каспер выдает сообщение:
! ПРОАКТИВНАЯ ЗАЩИТА
попытка загрузки нового или измененного модуля
MSOXMLMF.DLL
подозрительное действие:
integrity vidation
процесс (PID:2976)
C:\Program Files\Internet Explorer\iexplorer.exe
предлагает действия:
-разрешить
-запретить
-добавить в общий список
Поправил. Можно выполнять.
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcnet.dll');
DeleteFile('C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe');
DeleteFile('C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe');
DeleteFile('C:\WINDOWS\system32\drivers\symlcbrd.sys');
BC_ImportDeletedList;
BC_DeleteSvc('PavPrSrv');
ExecuteSysClean;
ExecuteRepair(5);
ExecuteRepair(6);
ExecuteRepair(8);
BC_Activate;
RebootWindows(true);
end.
[/CODE]
[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]
Библиотечка для The Microsoft Office XML MIME filter, так что можно разрешить.
скрипт выполнила!
[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]
Exploler не хочет грузится когда каспер работает... :(
я в шоке
какие-то проблемы остались ?
так в том то и дело, что я не могу зайти в интернет, когда работпет касперский, отключаю его и только тогда могу зайти на ваш форум :(