Printable View
Здравствуйте. помогите избавить копм от вируса. одолел уже. касперский зараженный файл удаляет, а система его вновь создает.
в правилах написанно, что нужно отключать восстановление системы на WinXP и Me. у меня win 2003 server, и я так понял, что там отключать не нужно.
С вашего позволения, предложу чуть-чуть подправленный скрипт:
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\ipv6monl.dll','');
QuarantineFile('C:\Documents and Settings\All Users\Documents\Settings\arm32.dll','');
QuarantineFile('C:\WINDOWS\SYSTEM32\dimsntfy.dll' ,'');
DeleteFile('C:\Documents and Settings\All Users\Documents\Settings\arm32.dll');
DeleteFile('C:\WINDOWS\system32\ipv6monl.dll');
ExecuteSysClean;
RebootWindows(true);
end.[/code] В программе Hijackthis, если останутся, [URL="http://virusinfo.info/showthread.php?t=4491"]пофиксить[/URL] строчки: [code]O20 - Winlogon Notify: arm32reg - C:\Documents and Settings\All Users\Documents\Settings\arm32.dll (file missing)
O2 - BHO: (no name) - {21384D29-1240-2d4f-A15C-17E42823D523} - C:\WINDOWS\system32\ipv6monl.dll (file missing)[/code]
После перезагрузки файлы из папки AVZ - Quarantine - сегодняшнее число
залейте по правилам приложения 2
O20 - Winlogon Notify: arm32reg - C:\Documents and Settings\All Users\Documents\Settings\arm32.dll (file missing) - такого файла не осталось. сделал добавление в карантин O20 - Winlogon Notify: arm32reg - C:\Documents and Settings\All Users\Documents\Settings\arm32.dll (file missing) но папка Quarantine\дата - пуста ???
Не осталось, и хорошо. Судя по логам, AVZ удалял его в ходе первой проверки. C:\WINDOWS\system32\ipv6monl.dll тоже не находится? Тогда [URL="http://virusinfo.info/showthread.php?t=4491"]пофиксите[/URL] в hijackthis строки [code]O20 - Winlogon Notify: arm32reg - C:\Documents and Settings\All Users\Documents\Settings\arm32.dll (file missing)
O2 - BHO: (no name) - {21384D29-1240-2d4f-A15C-17E42823D523} - C:\WINDOWS\system32\ipv6monl.dll (file missing)[/code] и сделайте новые логи
и эти строки пофиксить не удалось, так как их нет в списке. прикрепляю сегодняшние логи.
>>>> Обнаружена маскировка процесса 44684 ?
>>>> Обнаружена маскировка процесса 42964 ?
>>>> Обнаружена маскировка процесса 43988 ?
Не нравяться мне эти строчки в логе АВЗ. Может надо попробовать
включить AVZPM и посмотреть, что он покажет. Пока подожди советов других хелперов.
Угу, включить AVZPM перегрузиться и повторить логи.
сделал. проверьте плз.
Ничего плохого не вижу.
Строчку в файле HOSTS [CODE]192.168.11.104 test1.ru test2.ru[/CODE]Вы прописывали сами? Если да, то все Ок. Подтверждаю.
Я не понял, в прошлом логе был КАВ, а в этом нет. Куда же он делся?
не вылечился. прогнал его каспером-то же самое. в папке Temp сидит троян. В Hosts прописывал сам, а насчет КАВ - не знаю ???
на всякия случай сделал логи еще раз.
Ничего не видно нового. Единственное, что, по-моему, не спрашивали еще: виден Radmin - его сами ставили?
Браузер закрыть и удалить всё из Temp. Что не удалится удалить при помощи АВЗ, отложенным удалением
[B]adm_tolik_in[/B] Возможно, Касперский находит трояна в почтовых базах TheBat! (есть ощущение, что "мыша" стоит на этом РС). Он не может его вылечить и поэтому надо искать сообщение в TheBat! и удалять ручками. Потом сжать фолдеры откуда удаляли письма.