В системе появился вирус, который не удается убить подручными средствами.
Штатный антивирь - Norton Antivirus.
Проверка с помощью CureIT выявила также наличие win32.HLLM.Limar
Требуемые логи прилагаются.
Заранее спасибо
Printable View
В системе появился вирус, который не удается убить подручными средствами.
Штатный антивирь - Norton Antivirus.
Проверка с помощью CureIT выявила также наличие win32.HLLM.Limar
Требуемые логи прилагаются.
Заранее спасибо
Выполните в АВЗ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINNT\system32\vdmdracp.exe','');
QuarantineFile('C:\WINNT\system32\wcf.cpl','');
QuarantineFile('C:\WINNT\System32\ipprzipf.dll','');
QuarantineFile('C:\WINNT\system32\mciawinr.dll','');
QuarantineFile('C:\WINNT\system32\glu3rtm.dll','');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.[/code]
Загрузите карантин согласно приложения 3 правил.
Профиксите
[quote]O20 - Winlogon Notify: admewinr - C:\WINNT\
O20 - Winlogon Notify: ctl3pack - C:\WINNT\
O20 - Winlogon Notify: execvsut - C:\WINNT\
O20 - Winlogon Notify: icm3wmps - C:\WINNT\
O20 - Winlogon Notify: inkenwev - C:\WINNT\
O20 - Winlogon Notify: mtxosmlo - C:\WINNT\
O20 - Winlogon Notify: vdmdracp - C:\WINNT\[/quote]
Скрипт выполнил.
Указаное пофиксил.
Карантин выслал.
В логе HiJack смущают вот эти строчки:
[CODE]O20 - AppInit_DLLs: mciawinr.dll
O20 - Winlogon Notify: admewinr - C:\WINNT\[/CODE]
[size="1"][color="#666686"][B][I]Добавлено через 1 час 19 минут[/I][/B][/color][/size]
Norton продолжает ругаться на 'C:\WINNT\System32\ipprzipf.dll', вирус тот же - Stration
отключите антивирус (он весь карантин сЪел) ... выполните скрипт из поста 2 ...
Загрузите карантин согласно приложения 3 правил....
Карантин закачан.
Жду дальнейших указаний
но вот выполнить их смогу не раньше понедельника
C:\WINNT\system32\glu3rtm.dll Email-Worm.Win32.Warezow.wq
C:\WINNT\System32\ipprzipf.dll Email-Worm.Win32.Warezow.sz
C:\WINNT\system32\vdmdracp.exe Email-Worm.Win32.Warezov.vs
C:\WINNT\system32\mciawinr.dll Email-Worm.Win32.Warezov.vs
выполните скрипт ...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('C:\WINNT\system32\glu3rtm.dll');
DeleteFile('C:\WINNT\System32\ipprzipf.dll');
DeleteFile('C:\WINNT\system32\vdmdracp.exe');
DeleteFile('C:\WINNT\system32\mciawinr.dll');
BC_ImportDeletedList;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
[/code]
повторите логи ...
Высылаю логи.
Пофиксьте
[code]O20 - AppInit_DLLs: mciawinr.dll
O20 - Winlogon Notify: glu3rtm - C:\WINNT\system32\glu3rtm.dll (file missing)[/code]
Выполните
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('C:\WINNT\system32\ctl3pack.exe');
DeleteFile('C:\WINNT\system32\execvsut.exe');
DeleteFile('C:\WINNT\system32\icm3wmps.exe');
DeleteFile('C:\WINNT\system32\inkenwev.exe');
DeleteFile('C:\WINNT\system32\glu3rtm.dll');
BC_ImportDeletedList;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.[/code]
Повторите логи...
Пытался пофиксить - получил следующее сообщение:
[code]An unexpected error has occurred at procedure: modBackup_MakeBackup(sItem=O20 - AppInit_DLLs: mciawinr.dll)
Error #5 - Invalid procedure call or argument
Please email me at [email protected], reporting the following:
* What you were trying to fix when the error occurred, if applicable
* How you can reproduce the error
* A complete HijackThis scan log, if possible
Windows version: Windows NT 5.00.2195
MSIE version: 6.0.2800.1106
HijackThis version: 1.99.1
This message has been copied to your clipboard.
Click OK to continue the rest of the scan.[/code]
Выслал логи.
AVZ => Файл => Мастер поиска и устранения проблем. Категория проблемы - поставьте "Системные проблемы", степень опасности - "Все проблемы". Нажмите "Пуск". Всё найденное следует пометить и пофиксить. Данную операцию повторить для категории "Настройки и твики браузера".
В логах чисто,жалобы есть?
Спасибо. Все чисто