здравствуйте подскажите пожалуйста как мне удалить файл sulimo.dat и efsad.dll антивирус обнаружил но удалить не может а также пропала панель управления
Printable View
здравствуйте подскажите пожалуйста как мне удалить файл sulimo.dat и efsad.dll антивирус обнаружил но удалить не может а также пропала панель управления
Где 2 лога от avz ?
извините
Пофиксите в HijackThis:
[code]
O2 - BHO: (no name) - {6B93D275-72FF-469D-9A07-0AA5010FDD5B} - C:\WINDOWS\system32\efsad.dll
O20 - AppInit_DLLs: C:\WINDOWS\system32\sulimo.dat
[/code]
Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\ikf32.dll','');
QuarantineFile('C:\WINDOWS\system32\sulimo.dat','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\tcpip.sys','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\Qrt52.sys','');
QuarantineFile('C:\WINDOWS\system32\efsad.dll','');
DeleteFile('C:\WINDOWS\system32\efsad.dll');
DeleteFile('C:\WINDOWS\system32\DRIVERS\Qrt52.sys');
DeleteFile('C:\WINDOWS\system32\sulimo.dat');
DeleteFile('C:\WINDOWS\ikf32.dll');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил.
Сделайте новые логи.
большое спасибо файлы удалились но панель управления так и не появилась и не могу попасть в настройки постоянно выскакивает окно с сообщением что операции не могут быть выполненны.помогите :'-(
1. Пофиксите в HijackThis:
[code]
O2 - BHO: (no name) - {6B93D275-72FF-469D-9A07-0AA5010FDD5B} - C:\WINDOWS\system32\efsad.dll (file missing)
[/code]
2. Очистите корзину.
3. Выполните скрипт в AVZ:
[code]
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\drivers\symavc32.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\utaptytx.dat','');
DeleteFile('C:\WINDOWS\system32\drivers\symavc32.sys');
BC_ImportALL;
ExecuteSysClean;
ExecuteRepair(5);
ExecuteRepair(6);
ExecuteRepair(8);
ExecuteRepair(13);
BC_Activate;
RebootWindows(true);
end.[/code]
4. Новый карантин пришлите по правилам.
AVZ -- Восст. системы -- п.5,6,8 отметить -- выполнить.
ура:D всё появилось всё работает огромное спасибо
В первом карантине:
sulimo.dat - [b]not-virus:Hoax.Win32.Renos.lq[/b]
Qrt52.sys - [b]Rootkit.Win32.Agent.jc[/b]
efsad.dll - [b]Trojan.Win32.Delf.aim[/b]
symavc32.sys - [b]Rootkit.Win32.Agent.jc[/b]
tcpip.sys - чистый.
[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]
Еще не всё! Ждем второй карантин.
utaptytx.dat - похоже свеженький зловред.
на радостях забыл :) высылаю
Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\Windows\system32\drivers\utaptytx.dat');
BC_DeleteFile('C:\Windows\system32\drivers\utaptytx.dat');
BC_DeleteSvc('krmhbzvc');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
После перезагрузки сделайте новый комплект логов для контроля.
новый комплект логов
Вот это нужно позакрывать, если не пользуйтесь и все будет Ок.
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Remote Registry)
>> Службы: разрешена потенциально опасная служба TermService (Terminal Services)
>> Службы: разрешена потенциально опасная служба SSDPSRV (SSDP Discovery Service)
>> Службы: разрешена потенциально опасная служба Schedule ()
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Remote Desktop Help Session Manager)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>>> Безопасность: В IE разрешен запуск программ и файлов в IFRAME без запроса
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
огромное спасибо завтра буду разбираться
[b]utaptytx.dat[/b] - свежачок, будет называться [b]Rootkit.Win32.Agent.kt[/b].
А вот [b]ikf32.dll[/b] - вообще супер зверь: на virustotal.com его никто(!) даже не заподозрил, зато из вирлаба пришел ответ "New malicious software", правда название не сообщили, наверно еще не придумали ;).
Вы забыли пофиксить строчку:
[code]
O2 - BHO: (no name) - {6B93D275-72FF-469D-9A07-0AA5010FDD5B} - C:\WINDOWS\system32\efsad.dll (file missing)
[/code]
А так логи чистые.
Только вот с этим неплохо бы еще разобраться:
[code]
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Remote Registry)
>> Службы: разрешена потенциально опасная служба TermService (Terminal Services)
>> Службы: разрешена потенциально опасная служба SSDPSRV (SSDP Discovery Service)
>> Службы: разрешена потенциально опасная служба Schedule ()
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Remote Desktop Help Session Manager)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>>> Безопасность: В IE разрешен запуск программ и файлов в IFRAME без запроса
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
[/code]
Что нужно - скажите, остальное отключим.
спасибо беру тайм аут до завтра :)
@Bratez А не боишься что это ложняк (ikf32.dll)?
Уже поздно бояться ;)
И нечего делать в папке C:\WINDOWS всяким посторонним dll-кам с неясной этиологией! :D.
службы отключил, строку профиксил.спасибо
Надеюсь в курсе что это открыто :
Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
помочь закрыть ?
Чтобы уменьшить шанс заражения, на будущее :
1) Работать за компьютером с правами ограниченного пользователя.
2) Пользоваться для хождения по интернету альтернативным браузером [b]с отключёнными скриптами по умолчанию с лёгкостью разрешая доверенным сайтам выполнять скрипты [/b]([url=http://virusinfo.info/showthread.php?p=121290#post121290]Firefox[/url] и [url=http://virusinfo.info/showthread.php?t=6577]Opera[/url] это позволяют делать в отличии от IE 7 ,6....)
3) Прочитать электронную книгу "Безопасный Интернет". Универсальная защита для Windows ME - Vista": [url]http://security-advisory.newmail.ru[/url]
Вы можете нас отблагодарить, оказав нам помощь в сборе базы безопасных файлов : [url]http://virusinfo.info/showthread.php?t=3519[/url]
Мы будем Вам очень благодарны!
да . не знаю в каких строчках
Вот скрипт AVZ для закрытия данных дырочек:
[code]begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\CDROM','AutoRun', 0);
RebootWindows(true);
end.[/code]
ikf32.dll - [b]Trojan-Spy.Win32.Lydra.el[/b]
Теперь оно так называется ;)
всем огромное спасибо !!! всё в норме
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]31[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\ikf32.dll - [B]Trojan-Spy.Win32.Lydra.el[/B] (DrWEB: Trojan.LydraSpy.1402)[*] c:\\windows\\system32\\drivers\\qrt52.sys - [B]Rootkit.Win32.Agent.jc[/B] (DrWEB: Trojan.NtRootKit.405)[*] c:\\windows\\system32\\drivers\\symavc32.sys - [B]Rootkit.Win32.Agent.jc[/B] (DrWEB: Trojan.NtRootKit.405)[*] c:\\windows\\system32\\drivers\\utaptytx.dat - [B]Rootkit.Win32.Agent.kt[/B] (DrWEB: Trojan.Sentinel)[*] c:\\windows\\system32\\efsad.dll - [B]Trojan.Win32.Delf.aim[/B] (DrWEB: Trojan.Sentinel)[*] c:\\windows\\system32\\sulimo.dat - [B]Hoax.Win32.Renos.lq[/B] (DrWEB: Trojan.Fakealert.357)[/LIST][/LIST]