Здравствуйте.Помогите пожалуйста.Появились msftp.dll и ovrscn.dll одновременно.Каспер их "убить" не может, хотя видит.Получилось убрать, но после перезагрузки опять вылезают и висят в каспере. Заранее благодарен.
Printable View
Здравствуйте.Помогите пожалуйста.Появились msftp.dll и ovrscn.dll одновременно.Каспер их "убить" не может, хотя видит.Получилось убрать, но после перезагрузки опять вылезают и висят в каспере. Заранее благодарен.
выполните скрипт ....
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\msdnc6.exe','');
QuarantineFile('C:\WINDOWS\System32\svshost.dll','');
QuarantineFile('C:\WINDOWS\System32\ntos.exe','');
SetServiceStart('ovwscn', 4);
QuarantineFile('C:\WINDOWS\System32\ovwscn.sys','');
QuarantineFile('C:\WINDOWS\system32\sysfldr.dll','');
QuarantineFile('C:\WINDOWS\system32\baseiib32.dll','');
QuarantineFile('c:\windows\system32\drivers\spool.exe','');
QuarantineFile('c:\documents and settings\denis\local settings\application data\cftmon.exe','');
DeleteFile('c:\documents and settings\denis\local settings\application data\cftmon.exe');
DeleteFile('c:\windows\system32\drivers\spool.exe');
DeleteFile('C:\WINDOWS\system32\sysfldr.dll');
DeleteFile('C:\WINDOWS\System32\ovwscn.sys');
DeleteFile('C:\WINDOWS\System32\ntos.exe');
DeleteFile('C:\WINDOWS\System32\svshost.dll');
DeleteFile('C:\WINDOWS\msdnc6.exe');
BC_DeleteSvc('ovwscn');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил ...
повторите логи ....
у вас установлена устаревшая версия антивируса ... нужно заменить ... сейчас актуальна 7 ....
Сделал как советовали в avz, переустановил/обновил каспера. Он нашел вирусы,перезагрузился.Теперь не могу войти в систему даже в безопасном режиме. Комп. грузится до заставки винды, затем снова перезагружается и т. д. Что-то сделать возможно, или проще снести и переустановить виндовс?
[quote]Комп. грузится до заставки винды[/quote]
Уточните - имеется ввиду до флажка с бегущей полоской, или до приветствия, или до картинки раб. стола?
приплыли ... антивирус нужно было устанавливать после лечения ....
Да,сглупил похоже... Винда грузится до флажка и бегущей полоски
есть возможность загрузится с live cd ?
да есть
уже лучше .... сейчас выпишим рецепт ...
сорри, нет,сейчас найти не смогу :(
Похоже, антивирус грохнул baseiib32.dll, надо вытащить ее из карантина AVZ и положить обратно. Потом грузиться только в безопасном.
Ладно, переустановлю винду.Ничего критичного, в след. раз внимательней буду. Спасибо.
[QUOTE=Bratez;157295]
1. Запустите [B]regedit[/B] и выделите раздел [B]HKEY_USERS[/B].
2. Выберите в меню программы [I]File[/I] - [I]Load Hive (Файл - Загрузить куст)[/I] и перейдите к папке, где находится реестр вашей Windows (обычно C:\Windows\System32\Config).
3. Выделите файл [B]SOFTWARE[/B] без расширения и нажмите [I]Open[/I] [I](Открыть)[/I].
4. Введите имя для раздела, который вы загрузили, .
[/QUOTE]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\Session Manager\SubSystems]
Стандартное значение ключа:
%SystemRoot%\system32\csrss.exe ObjectDirectory=\Windows SharedSection=1024,3072,512 Windows=On SubSystemType=Windows ServerDll=[B]basesrv[/B],1 ServerDll=winsrv:UserServerDllInitialization,3 ServerDll=winsrv:ConServerDllInitialization,2 ProfileControl=Off MaxRequestThreads=16
у вас в место выделенного стоит baseiib32 замените
закончив редактирование, раздел обязательно нужно выгрузить. (Файл - Выгрузить куст)
Уточнение: при "оффлайновом" редактировании реестра ключа CurrenControlSet не будет. Придется ковырять все имеющиеся ControlSet'ы. Imho, проще вернуть трояна и грохнуть скриптом.
Ну, их там всего два имеющихся из, IMHO, трёх возможных - ControlSet001, ControlSet002, ControlSet003.