Printable View
Здравствуйте! Прошу помочь. При включении компьютера выскакивает сообщение о том что Windows не может найти файл ntndis.exe, а потом открываются два окна проводника Application data и Microsoft. Файл ntndis.exe я удалил ранее т.к. при включении выскакивала ошибка. При проверке на вирусы программой DrWeb был обнаружен и удален файл ftpdll.dll. После перезагрузки все повторяется: сообщение, окошки и вирус там же где и был.
1.[url=http://virusinfo.info/showthread.php?t=7239]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Надать кнопку "Запустить".[/url]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\system32\drivers\spools.exe');
QuarantineFile('Explorer.exe C:\WINDOWS\system32\drivers\ntndis.exe','');
QuarantineFile('C:\Documents and Settings\LocalService\Local Settings\Application Data\','');
QuarantineFile('c:\windows\system32\drivers\spools.exe','');
DeleteFile('c:\windows\system32\drivers\spools.exe');
DeleteFile('Explorer.exe C:\WINDOWS\system32\drivers\ntndis.exe');
BC_ImportAll;
BC_DeleteSvc('Schedule');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно [b]приложения 3 [url=http://virusinfo.info/showthread.php?t=1235]правил [/url][/b].
Загружать по ссылке: [url]http://virusinfo.info/upload_virus.php?tid=19800[/url]
2.Пофиксить в HijackThis следующие строчки ( [url]http://virusinfo.info/showthread.php?t=4491[/url] )
[CODE]F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\drivers\ntndis.exe
O4 - HKLM\..\Run: [autoload] C:\Documents and Settings\LocalService\Local Settings\Application Data\
O4 - HKLM\..\Run: [ntuser] C:\WINDOWS\system32\drivers\spools.exe
O4 - HKCU\..\Run: [autoload] C:\Documents and Settings\gasanalizade.KZN062\Local Settings\Application Data\[/CODE]
Повторите логи
Пофиксить строчки:
[code]F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\drivers\ntndis.exe
O4 - HKLM\..\Run: [ntuser] C:\WINDOWS\system32\drivers\spools.exe
[/code]
не удалось ввиду их отсутствия в списке.
Все в порядке, только выполните еще вот этот скриптик:
[code]
begin
RegKeyParamDel('HKEY_USERS', '.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run', 'autoload');
RebootWindows(true);
end.[/code]
Рекомендуется отключить все что вам не нужно из этого списка:
[code]
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
[/code]
Большое спасибо. К сожалению скриптик:
[code]
begin
RegKeyParamDel('HKEY_USERS', '.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run', 'autoload');
RebootWindows(true);
end[/code]
выполнить не удалось пишет ошибку
[B]Ошибка: '.' expected в позиции 5:1[/B]
Исправил. Точки в конце не хватало ;)
Большое спасибо!
Советуем прочитать [url="http://security-advisory.virusinfo.info/"]электронную книгу[/url] "Безопасный Интернет. Универсальная защита для Windows ME - Vista".
Вы можете нас отблагодарить, [url="http://www.virusinfo.info/showthread.php?t=3519"]оказав нам помощь в сборе безопасных файлов[/url]. Мы будем Вам очень благодарны!
Удачи! ;)
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]7[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\drivers\\spools.exe - [B]Worm.Win32.Socks.ft[/B] (DrWEB: BackDoor.FireOn)[/LIST][/LIST]