Пытаюсь вылечить систему сильно загаженную вирусами, вроде поборол используя cymantec и ваш avz
trojan dropper , Backdoor.Haxdoor , еще кучку и застрял на W32SpybotWorm, cymantec оповещает что он в system32\sysfldr.dll
поможите
Printable View
Пытаюсь вылечить систему сильно загаженную вирусами, вроде поборол используя cymantec и ваш avz
trojan dropper , Backdoor.Haxdoor , еще кучку и застрял на W32SpybotWorm, cymantec оповещает что он в system32\sysfldr.dll
поможите
[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните[/URL] скрипт в AVZ[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\system32\amcis.dll','');
QuarantineFile('C:\WINDOWS\win_kernel.exe','');
QuarantineFile('C:\WINDOWS\system32\rpcc.dll','');
QuarantineFile('C:\WINDOWS\ShowWnd.exe','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\smtpdrv.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\Wyh22.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\Iwk20.sys','');
QuarantineFile('C:\WINDOWS\system32\sysfldr.dll','');
DeleteFile('C:\WINDOWS\system32\sysfldr.dll');
DeleteFile('C:\WINDOWS\system32\Drivers\Iwk20.sys');
DeleteFile('C:\WINDOWS\system32\Drivers\Wyh22.sys');
DeleteFile('C:\WINDOWS\system32\DRIVERS\smtpdrv.sys');
DeleteFile('C:\WINDOWS\system32\rpcc.dll');
DeleteFile('C:\WINDOWS\win_kernel.exe');
DeleteFile('C:\WINDOWS\system32\amcis.dll');
BC_ImportALL;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.[/CODE]Загрузите карантин согласно приложению №3 правил. Повторите логи.
В дополнение к вышесказанному: поищите файл [b]ntdump.exe[/b]
через AVZ - Сервис - Поиск файлов на диске (отметить диск С: ).
Если найдется - добавьте в карантин.
пробую
logи
[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните[/URL] скрипт в AVZ[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\Wyh22', 'Start');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\Iwk20', 'Start');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\ovrscn.sys', 'Start');
RebootWindows(true);
end.[/CODE]Потом ещё один[CODE]begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\system32\Drivers\Wyh22.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\Iwk20.sys','');
DeleteFile('C:\WINDOWS\system32\Drivers\Iwk20.sys');
DeleteFile('C:\WINDOWS\system32\Drivers\Wyh22.sys');
DeleteFile('C:\WINDOWS\system32\ovrscn.sys');
DeleteFile('E:\autorun.inf');
BC_ImportALL;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.[/CODE]Загрузите карантин согласно приложению №3 правил. Повторите логи.
вероятно после вирусов появилась такая проблемка с открытием папок через графику как бы папка открывается в режиме поиска или "с помошником по поиску" в этой папке , может проблема очевидная , ноя в основном в oc linux работаю , не знаю как исправить
Пофиксите в HijackThis:
[code]
O2 - BHO: CIEStub Class - {EBBFE27C-BDF0-11D2-BBE5-00609419F467} - C:\WINDOWS\system32\amcis.dll (file missing)
O4 - HKCU\..\Run: [Userinit] ntdump.exe
O20 - Winlogon Notify: ovrscn - C:\WINDOWS\SYSTEM32\ovrscn.dll
O20 - Winlogon Notify: rpcc - C:\WINDOWS\
O20 - Winlogon Notify: sysfldr - sysfldr.dll (file missing)
[/code]
Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
StopService('Iwk20');
SetServiceStart('Iwk20', 4);
StopService('Wyh22');
SetServiceStart('Wyh22', 4);
DeleteFile('C:\WINDOWS\Iwk20.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Iwk20.sys');
DeleteFile('C:\WINDOWS\system32\Drivers\Wyh22.sys');
DeleteFile('C:\WINDOWS\SYSTEM32\ovrscn.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('Iwk20');
BC_DeleteSvc('Wyh22');
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Сделайте новые логи.
еще логи
немогу теперь вкл cymantec в режим постоянной защиты ?
[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните[/URL] скрипт в AVZ[CODE]begin
SysCleanAddFile('C:\WINDOWS\system32\amcis.dll');
ExecuteSysClean;
RebootWindows(true);
end.[/CODE]Повторите лог virusinfo_syscheck.zip.
Что из этого не нужно?[CODE]>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику[/CODE]
[size="1"][color="#666686"][B][I]Добавлено через 34 секунды[/I][/B][/color][/size]
[QUOTE=cherry81;173796]немогу теперь вкл cymantec в режим постоянной защиты ?[/QUOTE]Удалите его совсем, пользы от него ни какой.
ничего не нужно
Тогда выполните ещё такой скрипт[CODE]begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\CDROM','AutoRun', 0);
SetServiceStart('RDSessMgr', 4);
SetServiceStart('mnmsrvc', 4);
SetServiceStart('Schedule', 4);
SetServiceStart('SSDPSRV', 4);
SetServiceStart('TermService', 4);
SetServiceStart('RemoteRegistry', 4);
end.[/CODE]
а каким антивирусом посоветуете в дальнейшем пользоваться
Следы этого amcis.dll так и остались...
Выполните такой скрипт:
[code]
begin
DelBHO('{92780B25-18CC-41C8-B9BE-3C9C571A8263}');
DelBHO('{EBBFE27C-BDF0-11D2-BBE5-00609419F467}');
RebootWindows(true);
end.[/code]
и еще раз лог syscheck, надеюсь последний ;)
[QUOTE=cherry81;173843]а каким антивирусом посоветуете в дальнейшем пользоваться[/QUOTE][url]http://virusinfo.info/showthread.php?t=1550[/url]
еще логи
Чисто.
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]22[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]