Стали появляться сообщения внизу справа о том, что типа PC инфектед и при попытке закрыть самопроизвольно открывается какой-нибудь sanitardiska.com и пр. Пробывал выполнять скрипт в AVZ-не помогло. Прошу помощи!
Printable View
Стали появляться сообщения внизу справа о том, что типа PC инфектед и при попытке закрыть самопроизвольно открывается какой-нибудь sanitardiska.com и пр. Пробывал выполнять скрипт в AVZ-не помогло. Прошу помощи!
virusinfo_cure.zip уберите, вместо него должен быть virusinfo_[b]syscure[/b].zip .
Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\DOCUME~1\Super\LOCALS~1\Temp\ktalk.sys','');
QuarantineFile('C:\WINDOWS\System32\sen.dll','');
DeleteFile('C:\WINDOWS\System32\sen.dll');
DelBHO('{7FCF31C7-5276-4623-8C9A-08EEFAF6FE81}');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: [url]http://virusinfo.info/upload_virus.php?tid=17011[/url]).
Сделайте новые логи, начиная с п.10 правил.
[size="1"][color="#666686"][B][I]Добавлено через 6 минут[/I][/B][/color][/size]
Зачем вам два фаервола? Фаервол, как и антивирус, должен быть в системе один.
Необходимо срочно исправить вот это:
[code]
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)[/code]
т.е., установить SP2 + последующие обновления.
(Потребуется повторная активация, а ваш старый кряк не сработает!)
Скрипт выполнил. Карантин отослал.
Вот свежие логи:
Свежие логи со свежим тараканчиком ;)
Пришлите по правилам этот файл:
C:\Program Files\Internet Explorer\SETUPAPI.dll
Попытался убрать virusinfo_cure.zip из первого сообщения через окошко "управление вложениями". Не получилось-пишет, что у моего аккаунта нет прав на такие действия.
Не врубился про два файрвола. У меня вроде один установлен- outpost.:?
По поводу SP-2 для Windows: у меня после загрузки SP-2 через какое-то время начинаются проблемы с Windows. Т.е., складывается впечатление, что при загруженном обновлении, ОС система как то распознает, что имеет место "неофициальная" версия windows и начинаются сбои :( Автообновления вроде бы всегда отключаю:?
[size="1"][color="#666686"][B][I]Добавлено через 11 минут[/I][/B][/color][/size]
Выслал zip с файлом SETUPAPI.dll через virusinfo.info/upload_virus.php?tid=17011
Насчет фаерволов - пардон, малость ошибся,
просто в логах видны пустышки от сервисов Trend Micro PC-Cillin.
SETUPAPI.dll - [b]Trojan-Downloader.Win32.Agent.fny[/b]
Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\Program Files\Internet Explorer\SETUPAPI.dll');
BC_DeleteFile('C:\Program Files\Internet Explorer\SETUPAPI.dll');
ExecuteSysClean;
BC_DeleteSvc('PCCPFW');
BC_DeleteSvc('Tmntsrv');
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Сделайте еще раз два последних лога.
Скрипт выполнен. Вот логи:
Больше ничего зловредного не видно.
Сообщение об ошибке из-за отсутствия setupapi.dll не выскакивает?
Можно отключить для профилактики все ненужное из этого списка:
[code]
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба TlntSvr (Telnet)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
[/code]
Спасибо! Буду тестить.:)
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]7[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\sen.dll - [B]Rootkit.Win32.Podnuha.y[/B] (DrWEB: Trojan.DownLoader.45437)[*] \\setupapi.dll - [B]Trojan-Downloader.Win32.Agent.fny[/B] (DrWEB: Trojan.PWS.Webmonier.30)[/LIST][/LIST]