помогите пожалуйста эту хрень удалить
Реально не получается самому это сделать. Сначала думал, что мешает процесс cssrss.exe, но его не нашёл ничем
Nod32 постоянно находит этих тварей, например в темповой папке или c:\docs & sett\all users\doc..\
Printable View
помогите пожалуйста эту хрень удалить
Реально не получается самому это сделать. Сначала думал, что мешает процесс cssrss.exe, но его не нашёл ничем
Nod32 постоянно находит этих тварей, например в темповой папке или c:\docs & sett\all users\doc..\
антивирус регулярно обновляете ?
пофиксите ....
[code]
O20 - Winlogon Notify: LogCrypt - C:\WINDOWS\
O20 - Winlogon Notify: partnershipreg - C:\WINDOWS\
[/code]
выполните скрипт ....
[code]
begin
RegKeyIntParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Hardware Profiles\0001\System\CurrentControlSet\Enum\ROOT\LEGACY_Hks53\0000', 'CSConfigFlags', '1');
BC_QrFile('C:\WINDOWS\System32\drivers\Hks53.sys');
BC_DeleteSvc('Hks53');
BC_DeleteFile('C:\WINDOWS\System32\drivers\Hks53.sys');
QuarantineFile('C:\WINDOWS\system32\cssrss.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\tifm21.sys','');
DeleteFile('C:\WINDOWS\system32\cssrss.exe');
BC_Importall;
ExecuteSysClean;
ExecuteRepair(11);
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил ...
повторите логи ...
ошибка синтаксиса в скрипте
Ошибка: ')' expected в позиции 2:122
поправил ... лишняя кавычка прицепилась ...
виндовс больше не запускается
пришлось сделать последнюю удачную загрузку
Выполните такой скрипт:
[code]
begin
SearchRootkit(false, true);
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\Hks53', 'Start');
BC_QrFile('C:\WINDOWS\System32\drivers\Hks53.sys');
BC_DeleteSvc('Hks53');
BC_DeleteFile('C:\WINDOWS\System32\drivers\Hks53.sys');
BC_Activate;
RebootWindows(true);
end.[/code]
После перезагрузки сделайте новый лог syscheck (п.10 правил).
повторил операцию. после выполнения скрипта выдается несколько ошибок относительно файла cssrss.exe ... больше уже не успел заметить
комп уходит в ребут, затем BSOD и снова ребут. в безопасном не грузится. помогает, опять же, только последняя удачная загрузка
новый скрипт щас попробую
[size="1"][color="#666686"][B][I]Добавлено через 6 минут[/I][/B][/color][/size]
Новый скрипт сработал. что-то нейтрализовал. комп перезагрузился. при входе в систему выдал поиск нового устройства "Нет данных", драйверов для которого не нашёл.
запутил все по новой с пункта 8 по 10
выложить логи снова, в т.ч. и карантин из avz, если будет?
Просто логов пока достаточно
Новый скан системы, как вы и попросили. Пункт 10
То, что есть в файл:
D:\autorun.inf - это рекавери-партишн ноутбука, которая зачем-то отображается в винде (HP фирма ноутбука)
C:\SWSETUP\ - тут драйвера для него лежат. там вируса быть не может
На счет MATLAB не не уверен тоже, но хуже не будет, если удалить
Очень хорошо. Выполните такой скрипт:
[code]
begin
BC_DeleteSvc('Dmv33');
BC_DeleteSvc('diperto3475-1cdc');
BC_Activate;
RebootWindows(true);
end.[/code]
Вот эти два файла пришлите по правилам:
C:\Program Files\amsys\mfc42.dll
D:\autorun.inf
Для надежности обновите базы AVZ и сделайте полный комплект логов.
[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]
Рекомендуется отключить все что вам не нужно из этого списка:
[code]
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
[/code]
Скрипт выполнил. Windows загрузился без проблем. Запускаю пункты 8-10
[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]
Добавил файлы карантина по ссылке: [url]http://virusinfo.info/upload_virus.php?tid=18359[/url]
Файл сохранён как 080220_085451_virus_47bc3f3be48d8.zip
Размер файла 3967
MD5 0cce2d85694b41c2366e55a13e141421
C:\Program Files\amsys\mfc42.dll -чистый
Мне кажется , что папки C:\Program Files\AKL\ и Program Files\amsys - крайне подозрительны
Я упаковал все их содержимое в архивы и положил сюда: [url]http://www.rapidshare.ru/585890[/url]
Не могли бы по случаю посмотреть?
отправте по ссылке над темой ....
Файл сохранён как 080220_092725_akl-amsys_47bc46dd607ad.zip
Размер файла 53823
MD5 116644c407ae1d09264b7af2ff9587f8
пароль virus
новые логи:
в Багдаде все спокойно .... ( влогах ничего подозрительного )
по поводу отправленных файлов подождем ответ вирлаба ...
Отлично! Я рад! Спасибо!
Мне кажется эти вирусы после установки матлаба с диска у человека появились
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]3[/B][*]Обработано файлов: [B]6[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]