aev88.sys и ip6fw.sys нашол DrWebcureit, и не удаляет после перезагрузки появляются снова, компютер шлет сам куда-то письма это видно по сканеру почты АВАСТ, и часто выскакивает "синий экран смерти".
Printable View
aev88.sys и ip6fw.sys нашол DrWebcureit, и не удаляет после перезагрузки появляются снова, компютер шлет сам куда-то письма это видно по сканеру почты АВАСТ, и часто выскакивает "синий экран смерти".
Пофиксите в HijackThis:
[code]
O2 - BHO: Google Module - {221BBF54-3327-4548-9006-84385B1A5840} - ssymman.dll (file missing)
O4 - HKLM\..\Run: [WMedia32] wmedia32.exe
O20 - Winlogon Notify: LogCrypt - C:\WINDOWS\SYSTEM32\LogCrypt.dll
O20 - Winlogon Notify: partnershipreg - C:\WINDOWS\
O20 - Winlogon Notify: sysfldr - C:\WINDOWS\
[/code]
Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
StopService('Aev88');
SetServiceStart('Aev88', 4);
QuarantineFile('C:\Documents and Settings\1\Local Settings\Application Data\cftmon.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\kcp.sys','');
QuarantineFile('C:\WINDOWS\system32\burito4190-22f5.sys','');
QuarantineFile('C:\WINDOWS\system32\_svchost.exe','');
QuarantineFile('C:\WINDOWS\system32\Drivers\zmpyoyvx.dat','');
QuarantineFile('C:\WINDOWS\system32\Drivers\Aev88.sys','');
QuarantineFile('C:\WINDOWS\system32\LogCrypt.dll','');
QuarantineFile('C:\WINDOWS\system32\cssrss.exe','');
DeleteFile('C:\WINDOWS\system32\cssrss.exe');
DeleteFile('C:\WINDOWS\system32\LogCrypt.dll');
DeleteFile('C:\WINDOWS\system32\Drivers\Aev88.sys');
DeleteFile('C:\WINDOWS\system32\Drivers\zmpyoyvx.dat');
DeleteFile('C:\WINDOWS\system32\_svchost.exe');
DeleteFile('C:\WINDOWS\system32\burito4190-22f5.sys');
DeleteFile('C:\WINDOWS\system32\drivers\kcp.sys');
DeleteFile('C:\Documents and Settings\1\Local Settings\Application Data\cftmon.exe');
DeleteFile('C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\A88TKTZA\sinn[1].exe');
DeleteFile('C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\A88TKTZA\systemdll3[1].exe');
DeleteFile('C:\WINDOWS\system32\drivers\ip6fw.sys');
DeleteFile('C:\WINDOWS\system32\herjt320.exe');
DeleteFile('C:\WINDOWS\Temp\6D22.tmp');
BC_ImportALL;
BC_DeleteSvc('Aev88');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: [url]http://virusinfo.info/upload_virus.php?tid=17882[/url]).
Очистите временные файлы IE.
Сделайте новые логи.
Большое спасибо!!! вирусов как будто нет
карантин и логи выслал.
Все нормально, только похоже, вы забыли пофиксить в HijackThis:
[code]
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe
O2 - BHO: Google Module - {221BBF54-3327-4548-9006-84385B1A5840} - ssymman.dll (file missing)
O4 - HKLM\..\Run: [WMedia32] wmedia32.exe
O20 - Winlogon Notify: LogCrypt - LogCrypt.dll (file missing)
O20 - Winlogon Notify: partnershipreg - C:\WINDOWS\
O20 - Winlogon Notify: sysfldr - C:\WINDOWS\
[/code]
Пофиксите, перезагрузитесь и повторите лог HijackThis.
[size="1"][color="#666686"][B][I]Добавлено через 36 секунд[/I][/B][/color][/size]
Рекомендуется отключить все что вам не нужно из этого списка:
[code]
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Alerter (Оповещатель)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
[/code]
Профиксил но ОНО(HijackThis) написало:[QUOTE]was not found in the Registry[/QUOTE]
И еще как отключить:[QUOTE]>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику[/QUOTE]
Опять все на месте. Попробуйте фиксить указанные строчки каждую в отдельности (ставим галочку, жмем Fix Checked, потом Scan и т.д.).
Сделал!!!
Всё профиксилось. Проблемы какие-то наблюдаются?
Для отключения
[quote]>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику[/quote]
выполние в АВЗ
[code]begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\CDROM','AutoRun', 0);
RebootWindows(true);
end.[/code]
Все работает отлично!!! [B]БОЛЬШОЕ СПАСИБО ВАШЕМУ САЙТУ!!![/B]
[B]ЕСЛИ КАК ТО МОГУ ПОМОЧ ТО ПОМОГУ ОБР..[/B]
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]35[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\documents and settings\\localservice\\local settings\\temporary internet files\\content.ie5\\a88tktza\\sinn[1].exe - [B]Trojan-Downloader.Win32.Diehard.dt[/B] (DrWEB: BackDoor.Bulknet)[*] c:\\documents and settings\\localservice\\local settings\\temporary internet files\\content.ie5\\a88tktza\\systemdll3[1].exe - [B]Trojan-Downloader.Win32.Diehard.dt[/B] (DrWEB: BackDoor.Bulknet)[*] c:\\windows\\system32\\cssrss.exe - [B]Backdoor.Win32.Agent.eip[/B] (DrWEB: BackDoor.Nuno)[*] c:\\windows\\system32\\drivers\\aev88.sys - [B]Trojan-Downloader.Win32.Mutant.aim[/B] (DrWEB: Trojan.Rntm)[*] c:\\windows\\system32\\drivers\\zmpyoyvx.dat - [B]Trojan.Win32.Agent.cid[/B] (DrWEB: Trojan.Sentinel)[*] c:\\windows\\system32\\herjt320.exe - [B]Trojan-Downloader.Win32.Diehard.dt[/B] (DrWEB: BackDoor.Bulknet)[*] c:\\windows\\system32\\logcrypt.dll - [B]Trojan.Win32.Agent.eub[/B] (DrWEB: Trojan.DownLoader.46414)[*] c:\\windows\\system32\\sysfldr.dll - [B]Trojan.Win32.Agent.ewc[/B] (DrWEB: BackDoor.Mahaon)[*] c:\\windows\\temp\\6d22.tmp - [B]Trojan-Downloader.Win32.Diehard.dt[/B] (DrWEB: BackDoor.Bulknet)[/LIST][/LIST]