[SIZE=3][FONT=Times New Roman]DrWeb показывает, что в папке System Volume Information на одном из дисков есть вирус, но удалить его оттуда не может, виснет.[/FONT][/SIZE]
Printable View
[SIZE=3][FONT=Times New Roman]DrWeb показывает, что в папке System Volume Information на одном из дисков есть вирус, но удалить его оттуда не может, виснет.[/FONT][/SIZE]
пофиксите ...
[code]
O2 - BHO: Info cache - {385AB8C6-FB22-4D17-8834-064E2BA0A6F0} - C:\Documents and Settings\All Users\Application Data\Microsoft\PCTools\pctools.dll
O4 - HKLM\..\Policies\Explorer\Run: [MSDWG32] LYLoadbr.exe
O4 - HKLM\..\Policies\Explorer\Run: [MSDCG32 ] LYLeador.exe
O4 - HKLM\..\Policies\Explorer\Run: [MSDOG32] LYLoador.exe
O4 - HKLM\..\Policies\Explorer\Run: [MSDSG32] LYLoadar.exe
O4 - HKLM\..\Policies\Explorer\Run: [MSDMG32] LYLoadmr.exe
O4 - HKLM\..\Policies\Explorer\Run: [MSDHG32] LYLoadhr.exe
O4 - HKLM\..\Policies\Explorer\Run: [MSDQG32] LYLoadqr.exe]
O16 - DPF: {33331111-1111-1111-1111-611111193423} -
O16 - DPF: {33331111-1111-1111-1111-611111193429} -
O16 - DPF: {33331111-1111-1111-1111-615111193427} -
O16 - DPF: {33331111-1131-1111-1111-611111193428} -
O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34546} - C:\WINDOWS\system32\vbsys2.dll (file missing)
[/code]
выполните скрипт...
[code]
begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
QuarantineFile('C:\WINDOWS\system32\vbsys2.dll','');
QuarantineFile('LYLeador.exe','');
QuarantineFile('\SystemRoot\system32\DRIVERS\secdrv.sys','');
QuarantineFile('\??\C:\WINDOWS\system32\drivers\mxdispdr.sys','');
QuarantineFile('\??\C:\WINDOWS\system32\drivers\acpidisk.sys','');
QuarantineFile('C:\WINDOWS\system32\winlib .dll','');
QuarantineFile('C:\WINDOWS\system32\msplrct.dll','');
QuarantineFile('C:\Documents and Settings\All Users\Application Data\Microsoft\PCTools\pctools.dll','');
DeleteFile('C:\Documents and Settings\All Users\Application Data\Microsoft\PCTools\pctools.dll');
DeleteFile('C:\WINDOWS\system32\msplrct.dll');
DeleteFile('C:\WINDOWS\system32\winlib .dll');
DeleteFile('\??\C:\WINDOWS\system32\drivers\acpidisk.sys');
DeleteFile('\??\C:\WINDOWS\system32\drivers\mxdispdr.sys');
DeleteFile('LYLeador.exe');
DeleteFile('C:\WINDOWS\system32\vbsys2.dll');
BC_DeleteSvc('acpidisk');
BC_DeleteSvc('mxdispdr');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил....
повторите логи...
Карантин выслала.
Вот логи.
в логах ничего подозрительного не вижу ... какие-то проблемы остались ?
нужно разобраться с этим ...
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
[size="1"][color="#666686"][B][I]Добавлено через 14 минут[/I][/B][/color][/size]
C:\WINDOWS\system32\DRIVERS\secdrv.sys- чистый
C:\WINDOWS\system32\drivers\mxdispdr.sys
[code]
McAfee 5174 2007.11.29 [B]BackDoor-DMB.sys[/B]
Prevx1 V2 2007.11.29 [B]Generic.Malware[/B]
Symantec 10 2007.11.29 [B]Trojan.Retvorp[/B]
Webwasher-Gateway 6.6.2 2007.11.29 [B]Win32.Malware.gen!88 [/B](suspicious)
[/code]
C:\WINDOWS\system32\drivers\acpidisk.sys
[code]
AntiVir 7.6.0.34 2007.11.29 [B]RKIT/Cinmus.M[/B]
Avast 4.7.1074.0 2007.11.28 [B]Win32:Cinmus-K[/B]
F-Prot 4.4.2.54 2007.11.28 [B]W32/Cinmus.D.gen!Eldorado[/B]
Ikarus T3.1.1.12 2007.11.29 [B]not-a-virus:AdWare.Win32.Cinmus.j[/B]
McAfee 5174 2007.11.29 [B]potentially unwanted program Adware-Cinmus[/B]
Microsoft 1.3007 2007.11.29 [B]Trojan:Win32/Cinmeng[/B]
NOD32v2 2693 2007.11.29 [B]a variant of Win32/Adware.Cinmus[/B]
Sophos 4.23.0 2007.11.29 [B]Cinmus[/B]
VirusBuster 4.3.26:9 2007.11.29 [B]Trojan.DR.Cinmus.Gen.3[/B]
Webwasher-Gateway 6.6.2 2007.11.29 [B]Rootkit.Cinmus.M[/B]
[/code]
C:\Documents and Settings\All Users\Application Data\Microsoft\PCTools\pctools.dll
[code]
AntiVir 7.6.0.34 2007.11.29 [B]ADSPY/Cinmus.JJ[/B]
Avast 4.7.1074.0 2007.11.28 [B]Win32:Cinmus-D[/B]
AVG 7.5.0.503 2007.11.29 [B]Adware Generic2.JVP[/B]
BitDefender 7.2 2007.11.29 [B]DeepScan:Generic.Adware.Cinmus.B7549FC4[/B]
ClamAV 0.91.2 2007.11.29 [B]Adware.Cinmus-14[/B]
Fortinet 3.14.0.0 2007.11.29 [B]Adware/Cinmus[/B]
F-Prot 4.4.2.54 2007.11.28 [B]W32/Cinmus.B.gen!Eldorado[/B]
Ikarus T3.1.1.12 2007.11.29 n[B]ot-a-virus:AdWare.Win32.Cinmus.d[/B]
McAfee 5174 2007.11.29 [B]potentially unwanted program Adware-Cinmus[/B]
Microsoft 1.3007 2007.11.29 [B]Trojan:Win32/Cinmeng[/B]
NOD32v2 2693 2007.11.29 [B]a variant of Win32/Adware.Cinmus[/B]
Panda 9.0.0.4 2007.11.28 [B]Generic Malware[/B]
Sophos 4.23.0 2007.11.29 [B]Cinmus[/B]
Webwasher-Gateway 6.6.2 2007.11.29 [B]Ad-Spyware.Cinmus.JJ[/B]
[/code]
Спасибо, проблемы больше нет!
Вчера почему-то опять завис на этой папке, а сегодня все нашел и удалил!:)
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]4[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\documents and settings\\all users\\application data\\microsoft\\pctools\\pctools.dll - [B]Trojan.Win32.BHO.aaa[/B] (DrWEB: Adware.Cinmus.175)[*] c:\\windows\\system32\\drivers\\acpidisk.sys - [B]not-a-virus:AdWare.Win32.Cinmus.ary[/B] (DrWEB: Adware.Cinmus.175)[*] c:\\windows\\system32\\drivers\\mxdispdr.sys - [B]not-a-virus:AdWare.Win32.Cinmus.ary[/B] (DrWEB: Adware.Cinmus.175)[/LIST][/LIST]