Доброго времени суток!
Помогите, пожалуйста, т.к. не запускается IE и периодически всплывают окна с сообщениями о том, что система под угрозой.
Printable View
Доброго времени суток!
Помогите, пожалуйста, т.к. не запускается IE и периодически всплывают окна с сообщениями о том, что система под угрозой.
Выполнить скрипт. В конце скрипта компьютер перегрузится. После перегрузки выслать содержимае карантина как указано в правилах и повторить все логи.
[CODE]begin
QuarantineFile('C:\WINDOWS\System32\vbsys2.dll','');
DeleteFile('C:\WINDOWS\System32\vbsys2.dll');
ExecuteSysClean;
RebootWindows(true);
end.[/CODE]
Спасибо, вечером попробую. Только есть один вопрос - "выполнить скрипт" - это в AVZ - Файл - Выполнить скрипт, правильно я поняла?
Скопировать текст из сообщения [b]Gesera[/b] в окошко для выполнения и запустить скрипт.
C вашего позволения, я скрипт дополню:
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\cp2978.nls','');
QuarantineFile('C:\DOCUME~1\-\LOCALS~1\Temp\svchast.exe','');
QuarantineFile('C:\DOCUME~1\-\LOCALS~1\Temp\19545656.exe','');
QuarantineFile('C:\WINDOWS\System32\vbsys2.dll','');
QuarantineFile('C:\WINDOWS\System32\zdPrypt.dll','');
CreateQurantineArchive(GetAVZDirectory+'virusinfo_7716_quarantine.zip');
DeleteFile('C:\WINDOWS\System32\vbsys2.dll');
DeleteFile('C:\DOCUME~1\-\LOCALS~1\Temp\19545656.exe');
DeleteFile('C:\DOCUME~1\-\LOCALS~1\Temp\svchast.exe');
ExecuteSysClean;
RebootWindows(true);
end.[/code]
После перезагрузки пришлите файл [b]virusinfo_7716_quarantine.zip[/b] из каталога AVZ. Ссылка на тему: [url]http://virusinfo.info/showthread.php?t=7716[/url]
Вот это можно сразу пофиксить в HijackThis:
[code]O20 - Winlogon Notify: 1_32bean32_1reg - C:\WINDOWS\
O20 - Winlogon Notify: rpcc - C:\WINDOWS\System32\rpcc.dll (file missing)
O2 - BHO: C:\WINDOWS\System32\zdPrypt.dll - {8A5849C4-93F3-429D-FF34-660A2068897C} - C:\WINDOWS\System32\zdPrypt.dll (file missing)[/code]
Вот файл, который Вы сказали прислать. Позже пришлю все остальное.
Почему-то не могу прикрепить содержимое карантина и логи.....
Возможно, мне нужно удалить первый файл, который я Вам отправила?
[B]Файлы из карантина надо отсылать согласно приложения 2 правил.[/B]
Файл сохранён как 070131_225142_virusinfo_7716_quarantine_45c0f34e11839.zip
Размер файла 236776
MD5 7c824660db807fde37bd612e629725aa
C:\WINDOWS\System32\vbsys2.dll
C:\Documents and Settings\-\Local Settings\Temporary Internet Files\Content.IE5\SHURWHEF\file[1].htm
Trojan-Clicker.Win32.Agent (KAV)
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\Documents and Settings\-\Local Settings\Temporary Internet Files\Content.IE5\SHURWHEF\file[1].htm');
ExecuteSysClean;
RebootWindows(true);
end.[/CODE]
Вот,что получилось сегодня.
Как написано в приложении два, прикрепить не получилось, папка почему-то оказалась пустой.
Уважаемые господа!
Ну помогите, пожалуйста! Правда, при этом придется учитывать, что я не очень хорошо разбираюсь во всем этом:help:
В AVZ активизировать AVZPM, перезагрузиться и сделать логи с ним.
Наконец-то удалось!
Я отправила файл, как сказано в приложении 2.
[QUOTE=MARIO;93942]Наконец-то удалось!
Я отправила файл, как сказано в приложении 2.[/QUOTE]
Вы прислали файл C:\Program Files\Eset\pr_imon.dll
Он безопасен.
Что значит не запускается IE? Он выдает какую-нибудь ошибку?
Что-то там странное. Куча коннектов на 25 порт... Может просканить еще каким-то антируткитом?
Сейчас посмотрю логи, но ещё рекомендую поменть все пароли, которые хранятся на Вашем компьютере. А вообще дружеский совет, не пользоватся IE вообще, ибо это не самый лучший браузер из всех существующих.
По-моему все ясно. В файле c:\cp2595.nls троян, рассылающий спам. А проник он через одну из дыр, так как SP1 и файрвола нет.
MARIO, пришлите файл
c:\cp2595.nls
так как сказано в приложении 2 Правил.
[quote=AndreyKa;93964]Вы прислали файл C:\Program Files\Eset\pr_imon.dll
Он безопасен.
Что значит не запускается IE? Он выдает какую-нибудь ошибку?[/quote]
Да, он пишет, что "не удалось загрузить msvcrl.dll"
[quote=AndreyKa;93977]По-моему все ясно. В файле c:\cp2595.nls троян, рассылающий спам. А проник он через одну из дыр, так как SP1 и файрвола нет.
MARIO, пришлите файл
c:\cp2595.nls
так как сказано в приложении 2 Правил.[/quote]
Таких файлов, как c:\cp2595.nls у меня NOD находит почти каждую минуту, только цифры там разные.
[QUOTE=MARIO;93993]Да, он пишет, что "не удалось загрузить msvcrl.dll"[/QUOTE]
АВЗ->Сервисы->Поиск в реестре
В строке поиска поставить msvcrl.dll В параметрах поиска отметить все чекбоксы
Запустить поиск. Отметить все найденные ключи, создать рег файл с ними, потом удалить их. Рег файл в архив и прикрепить сюда.
[QUOTE=MARIO;93996]Таких файлов, как c:\cp2595.nls у меня NOD находит почти каждую минуту, только цифры там разные.[/QUOTE]
Один такой файл пришлите по правилам.