постоянно выскакивают системные сообщения об этих вирусах, norton обновляется, работает, но ничего не видит... не знаю что делать..
Printable View
постоянно выскакивают системные сообщения об этих вирусах, norton обновляется, работает, но ничего не видит... не знаю что делать..
[QUOTE=connan;194323]... не знаю что делать..[/QUOTE][URL="http://virusinfo.info/showthread.php?t=1235"]выполнить[/URL]
выполнил...
[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]
avz заподозрил аж 80 файлов, но больше ничего не изменилось...
[QUOTE=connan;194337]выполнил...
[/QUOTE]
для начала нужно было хотя бы прочитать ;)
где логи ?
упс... что-то сразу не всё прикрепилось... сорри..
выполните скрипт ...
[code]
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('D:\DOCUME~1\5F8D~1\LOCALS~1\Temp\ieobj.dll','');
QuarantineFile('D:\Program Files\Internet Explorer\SETUPAPI.dll','');
QuarantineFile('D:\WINDOWS\system32\basebvw32.dll','');
QuarantineFile('D:\WINDOWS\system32\bitsprx.dll','');
QuarantineFile('D:\WINDOWS\system32\ntos.exe','');
QuarantineFile('D:\WINDOWS\system32\cssrss.exe','');
QuarantineFile('D:\DOCUME~1\5F8D~1\LOCALS~1\Temp\~~install.dll','');
QuarantineFile('C:\Program Files\Internet Explorer\winload.exe','');
QuarantineFile('D:\WINDOWS\system32\DRIVERS\smtpdrv.sys','');
DeleteFile('D:\WINDOWS\system32\DRIVERS\smtpdrv.sys');
DeleteFile('D:\WINDOWS\system32\cssrss.exe');
DeleteFile('D:\WINDOWS\system32\ntos.exe');
DeleteFile('D:\WINDOWS\system32\bitsprx.dll');
DeleteFile('D:\Program Files\Internet Explorer\SETUPAPI.dll');
DelBHO('{9D28597B-67AA-4755-BCD5-56D20889E8B0}');
BC_DeleteSvc('smtpdrv');
BC_Importall;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил ...
вроде как переслал...
перечитайте как нужно отправлять файлы ( приложение 3 правил ) ... только читать внимательно .....
прошу прощенья... теперь вроде всё как надо сделал :)
D:\DOCUME~1\5F8D~1\LOCALS~1\Temp\~~install.dll [B]not-virus:Hoax.Win32.Renos.awn[/B]
D:\DOCUME~1\5F8D~1\LOCALS~1\Temp\ieobj.dll [B]not-virus:Hoax.Win32.Renos.awm[/B]
D:\Program Files\Internet Explorer\SETUPAPI.dll [B]Trojan-Spy.Win32.Webmoner.fx[/B]
D:\WINDOWS\system32\basebvw32.dll [B]Trojan.Win32.Agent.edu[/B]
D:\WINDOWS\system32\ntos.exe [B]Trojan-Spy.Win32.Zbot.ajx[/B]
выполните скрипт ....
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('D:\DOCUME~1\5F8D~1\LOCALS~1\Temp\~~install.dll');
DeleteFile('D:\DOCUME~1\5F8D~1\LOCALS~1\Temp\ieobj.dll');
BC_ImportDeletedList;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
[/code]
затем еще один ...
[code]
function _DecHex( Dc : Integer) : String;
begin Result := Copy('0123456789abcdef',Dc+1,1); end;
function DecHex( Dec : Integer) : String;
var Di,D1,D2 : integer;
begin
Di := 0; D1 := 0; D2 :=0; While Di < Dec Do Begin d1 := d1 + 1; Di := d1*16-1; end;
If d1 > 0 Then d1 := d1 - 1; D2 := Dec - d1*16; Result :=_DecHex(D1) + _DecHex(D2);
end;
procedure ParseString (S : TStringList; SS : String; SSS : String );
var i,l : integer;
begin
i := Pos(SSS,SS); l := Length(ss);
If l > 1 Then begin If i=0 Then S.Add(ss); If i>0 Then begin
s.Add(Copy(ss,1,i-1)); ParseString(S,Copy(ss,i+1,l-i+1),SSS) end; end;
end;
var SL,SF : TStringList; SS, SSS : String; i : integer;
begin
SS := ''; SSS := ''; SL := TStringList.Create; SF := TStringList.Create;
SS := RegKeyStrParamRead ('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems','Windows');
ParseString (SL,SS,' ');
for i := 0 to SL.Count - 1 do Begin
SS := SL[i];
If Pos('ServerDll=base',SS) > 0 Then Begin
If SS <> 'ServerDll=basesrv,1' Then Begin
AddToLog('Infected "SubSystem" value : ' + SS);
if MessageDLG('Fix "SybSustem" parametrs ?', mtConfirmation, mbYes+mbNo, 0) = 6 then Begin
SSS := SL[i]; SL[i] := 'ServerDll=basesrv,1'; AddToLog('User select "Fix" option.'); end;
end;
end;
end;
SS := ''; for i := 0 to SL.Count - 1 do Begin SS := SS + SL[i]; If SL.Count - 1 > i Then SS := SS + ' '; end;
If SSS <> '' Then Begin
i := Pos(',',SSS); If i = 0 Then i := Length(SSS);
SSS := Copy(SSS, Pos('=',SSS) + 1, i - Pos('=',SSS)-1);
AddToLog('Infection name : ' + SSS + '.dll');
SetAVZGuardStatus(True);
If FileExists('%WinDir%' + '\system32\' + SSS + '.dll') = true then DeleteFile('%WinDir%' + '\system32\' + SSS + '.dll');
SF.Add('REGEDIT4'); SF.Add('');
SF.Add('[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems]');
SSS := '"Windows"=hex(2):';
for i := 1 to Length(SS) do SSS := SSS + DecHex(Ord(Copy(SS,i,1))) + ',';
SSS := SSS + '00'; SF.Add(SSS); SF.SaveToFile(GetAVZDirectory + 'fix.reg');
ExecuteFile('reg.exe','IMPORT "' + GetAVZDirectory + 'fix.reg"', 1, 10000, true);
SaveLog(GetAVZDirectory + 'SubSystems.log');
RebootWindows(false);
end;
SL.Free; SF.Free;
End.
[/code]
повторите логи ...
ну хоть теперь я правильно понял, что после скриптов надо было повторить начальные операции и новые логи прислать?
Да, все правильно. Лечение прошло успешно. Осталось подобрать мусор.
Пофиксите в HijackThis:
[code]
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - d:\program files\google\googletoolbar2.dll (file missing)
O2 - BHO: WindowsUpdate Class - {B3B010A1-A877-4CD7-BAB5-9EE8F9965E20} - D:\DOCUME~1\5F8D~1\LOCALS~1\Temp\ieobj.dll (file missing)
O3 - Toolbar: Seekmo Toolbar - {53E0B6E8-A51D-448B-B692-40B67B285543} - D:\Program Files\Seekmo Programs\Seekmo Toolbar\SeekmoTB.dll (file missing)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - d:\program files\google\googletoolbar2.dll (file missing)
O4 - HKLM\..\Run: [winclean] d:\windows\system32\winclean.exe
O4 - HKLM\..\Run: [winload] C:\Program Files\Internet Explorer\winload.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Program Files\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Program Files\ICQLite\ICQLite.exe (file missing)
[/code]
Выполните скрипт в AVZ:
[code]
begin
ExecuteRepair(6);
ExecuteRepair(11);
ExecuteRepair(17);
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Сделайте новые логи, начиная с п.10 правил.
вроде так...
Еще одну пустышку проглядел, извиняюсь.
Выполните скрипт в AVZ:
[code]
begin
BC_DeleteSvc('kcp');
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Рекомендуется отключить все что вам не нужно из этого списка:
[code]
>> Службы: разрешена потенциально опасная служба TermService (Terminal Services)
>> Службы: разрешена потенциально опасная служба SSDPSRV (SSDP Discovery Service)
>> Службы: разрешена потенциально опасная служба TlntSvr (Telnet)
>> Службы: разрешена потенциально опасная служба Schedule (Task Scheduler)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Remote Desktop Help Session Manager)
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
[/code]
Какие-нибудь проблемы остались?
да... после выполнения предыдущего скрипта комп начал перезагружаться и завис...
и написать об этом было не с чего...
[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]
так грузиться и не хочет...
Защищ. режим тоже не работает?
Тогда придется делать откат к посл. успешной конфигурации и повторять все логи.
он ВООБЩЕ не грузится... просто чёрный экран и всё...
сейчас взял загрузочный диск на работе буду с него загружаться...
стыдно конечно спрашивать, но не знаю как "откат к посл. успешной конфигурации" произвести...
При загрузке клавишу F8 давишь, там меню выскакивает, в нем пункт этот должен быть.
Можешь еще защищенный попробовать (Safe Mode)
да не работает F8... что-то вроде грузит сначала, причём на экране вообще ничего не видно, а потом зависает...
Глюк какой-то. Скрипт совершенно тривиальный и безопасный, не мог он такое сотворить ну никак. На экране совсем-совсем ничего не появляется? Может сигнальный кабель отвалился?