после лечения что то осталось:( помогите пожалуйста:) логи прилогаются:)))
Printable View
после лечения что то осталось:( помогите пожалуйста:) логи прилогаются:)))
[QUOTE=1-2-3;102359]после лечения что то осталось:[/QUOTE]
... нелатанная система осталась
[QUOTE]Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)[/QUOTE]
что делает все попытки её почистить безрезультатными.
Да, остались ошмётки Лимара.
1. Загрузите по ссылке [url=http://virusinfo.info/upload_virus.php?tid=8787]Прислать запрошенные файлы[/url] файл [B]virusinfo_cure.zip[/B].
2. AVZ - Файл - Выполнить скрипт:
[code]begin
ClearQuarantine;
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\System32\confifc.dll','');
QuarantineFile('C:\WINDOWS\System32\e1.dll','');
CreateQurantineArchive(GetAVZDirectory+'8787_quarantine.zip');
DeleteFile('C:\WINDOWS\System32\e1.dll');
ExecuteSysClean;
RebootWindows(true);
end.[/code]
3. После перезагрузки пришлите по той же ссылке файл [B]8787_quarantine.zip[/B] из каталога AVZ.
4. Пофиксите в HijackThis:
[code]O20 - AppInit_DLLs: e1.dll confdbg.dll dbgstat.dll
O20 - Winlogon Notify: dbgmgr - ifcmgr32.dll (file missing)
O20 - Winlogon Notify: jpgmgr - jpgmgr32.dll (file missing)
O20 - Winlogon Notify: npptdpnm - C:\WINDOWS\System32\npptdpnm.dll (file missing)
O4 - HKLM\..\Run: [ifcdiag] C:\WINDOWS\System32\ifcconf.exe[/code]
5. Поставьте SP2 и заплатки безопасности, выпущенные после SP2.
Cделал выше написанное, фаилы зашрузил.
Что, и пункт 5 тоже выполнили? Сделайте новые логи, надо посмотреть, что осталось.
[quote=pig;102480]Что, и пункт 5 тоже выполнили? Сделайте новые логи, надо посмотреть, что осталось.[/quote]
нет это будет проблематично. новые логи прилогаются. спасиьо Вам:)
1. При выполнении логов в карантин должен был попасть файл
C:\WINDOWS\system32\dbgperf.exe - пришлите его по правилам.
2. C:\Documents and Settings\Владелец\Мои документы\Файлы Мail.Ru Агента\[email protected]\[email protected]\я и я.exe >>>>> Constructor.Win32.MicroJoiner.17 - настоятельно рекомендуется удалить.
3. Если в доверенную зону сами ничего не вносили, то пофиксите:
[code]
O15 - Trusted Zone: http://*.cn.ru
O15 - Trusted Zone: http://*.passport.cn.ru
[/code]
готово,
1) имя фаила 070407_063550_virus_46170386da3d6.zip;
2) удалил;
3)O15 - Trusted Zone: [url]http://*.passport.cn.ru[/url] фиксится отказался.
Готово,
1) закачал
2) удалил
3) O15 - Trusted Zone: [url]http://*.passport.cn.ru[/url] фиксится отказался
Присланный файл - Email-Worm.Win32.Warezov.mg.
Скрипт для удаления:
[code]
begin
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\dbgperf.exe');
ExecuteSysClean;
end.[/code]
Попробуйте в Свойствах обозревателя на вкладке Безопасность нажать кнопку "Узлы" и удалить passport.cn.ru из списка.
DNS-серверы 200.100.100.100 и 200.100.100.113 прописывали сами? Если нет - пофиксите:
[code]
O17 - HKLM\System\CCS\Services\Tcpip\..\{A3666D9E-F007-4D19-9ED2-F8CE6FD58354}: NameServer = 200.100.100.100,200.100.100.113
[/code]
все сделал:) спаибо за помощь:) видимо теперь всё чисто:)))) ещё раз спасибо:)))
[QUOTE=1-2-3;103049]видимо теперь всё чисто:)))) [/QUOTE]
Ну если не поленитесь сделайте логи еще раз.:)