Printable View
Здравствуйте!
Програмка XoftSpySE находит следующие объекты:
1) software\microsoft\videoplugin
2) c:\WINDOWS\system32\msjetoledb40.dll
После удаления эти объекты появляются снова.
Помогите, пожалуйста, от них избавиться.
P.S.: Avast, cureit и Ad-Aware эти объекты не находят.
AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\vipextmst.dll','');
QuarantineFile('C:\WINDOWS\kopmet.dll','');
QuarantineFile('C:\WINDOWS\jetctrl.dll','');
QuarantineFile('C:\WINDOWS\system32\drivers\lwgovlps.dat','');
QuarantineFile('C:\WINDOWS\system32\atmf.dll','');
StopService('niduanmf');
DeleteFile('C:\WINDOWS\system32\atmf.dll');
DeleteFile('C:\WINDOWS\system32\drivers\lwgovlps.dat');
DeleteFile('C:\WINDOWS\jetctrl.dll');
DeleteFile('C:\WINDOWS\kopmet.dll');
DeleteFile('C:\WINDOWS\vipextmst.dll');
BC_DeleteSvc('niduanmf');
DelCLSID('C0CC0714-31F2-421D-93FC-9387A9821781');
DelCLSID('2B159383-78BB-4D21-A799-95AABC81ACED');
ExecuteRepair(6);
ExecuteRepair(9);
BC_Activate;
RebootWindows(true);
end.
[/code]
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: [url]http://virusinfo.info/upload_virus.php?tid=15034[/url]
[size="1"][color="#666686"][B][I]Добавлено через 8 минут[/I][/B][/color][/size]
те объекты что находит XoftSpy добавить в карантин AVZ перед посылкой по пункту 2 правил.
drongo, я отправила карантин, но объект C:\WINDOWS\system32\msjetoledb40.dll не добавляется в карантин AVZ.
повторите логи ....
V Bond: в смысле повторить? снова выполнить скрипты?
в смысле сделать заново логи как в вашем первом сообщении..
ok
новые логи
пофиксите ...
[code]
O21 - SSODL: kopmet - {72BAA34C-3054-4757-BA77-A1E5B2FA51E7} - C:\WINDOWS\kopmet.dll (file missing)
O21 - SSODL: jetctrl - {5E5F8BC9-9093-4FA4-8DE5-B7055EA18621} - C:\WINDOWS\jetctrl.dll (file missing)
[/code]
выполните скрипт...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\jetctrl.dll');
DeleteFile('C:\WINDOWS\kopmet.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
повторите логи....
логи:
что из этого используется ?
[code]
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
[/code]
я без понятия что из этого нужно, комп домашний
[size="1"][color="#666686"][B][I]Добавлено через 4 минуты[/I][/B][/color][/size]
слушайте, а ведь "msjetoledb40.dll" все равно сидит в системных файлах. ЧТО ЖЕ С НИМ ДЕЛАТЬ.
Запаковать в архив с паролем "virus" и прислать по приложению 3 Правил
тогда выполните скрипт ...
[code]
begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
SetServiceStart('RDSessMgr', 4);
SetServiceStart('mnmsrvc', 4);
SetServiceStart('Schedule', 4);
SetServiceStart('SSDPSRV', 4);
SetServiceStart('TermService', 4);
SetServiceStart('RemoteRegistry', 4);
RebootWindows(true);
end.
[/code]
[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]
[QUOTE=dilya;158467]
слушайте, а ведь "msjetoledb40.dll" все равно сидит в системных файлах. ЧТО ЖЕ С НИМ ДЕЛАТЬ.[/QUOTE]
с чего вы взяли ? что это плохо ?
[size="1"][color="#666686"][B][I]Добавлено через 3 минуты[/I][/B][/color][/size]
[url]http://support.microsoft.com/kb/296931/ru[/url]
с того, что XoftSpy как находил этот файл так и находит. и определяет как троян (серьезный риск).
Пришлите его нам для окончательного вердикта
V Bond: последний скрипт выполнила
rubin: сам файл отправить? его просто заархивировать и оправить, да?
Да, только архивируйте с паролем "virus"
ну у меня тоже такая библиотека есть .... а не добавляется в карантин AVZ так как проходит по базе безопасных ... при наличии антивируса ... нет необходимости в сомнительных антиспаях ....
[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]
советую убрать XoftSpy ... а то он вам скоро весь Windows посоветует удалить ... ;)
rubin: а как с паролем?
V Bond: считаете забить на этот файл?
[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]
V Bond: он находит огромное количество рекламных, которые не определяются другими.
[size="1"][color="#666686"][B][I]Добавлено через 3 минуты[/I][/B][/color][/size]
rubin: тоже считаете "msjetoledb40.dll" безвредным?
[QUOTE]V Bond: он находит огромное количество рекламных, которые не определяются другими.[/QUOTE]
ну должна же эта штука что-то находить ... ;)
[QUOTE]
rubin: тоже считаете "msjetoledb40.dll" безвредным?[/QUOTE]уверен почти на 100 % (прошел по базе безопасных) :)
спасибо всем большое!!!!!!!!!!!!!!!!!!!!
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]7[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\jetctrl.dll - [B]Trojan.Win32.Vapsup.qp[/B] (DrWEB: Adware.BusMedia.51)[*] c:\\windows\\system32\\atmf.dll - [B]Rootkit.Win32.Podnuha.y[/B] (DrWEB: Trojan.DownLoader.37561)[*] c:\\windows\\system32\\drivers\\lwgovlps.dat - [B]Rootkit.Win32.Agent.tw[/B] (DrWEB: Trojan.NtRootKit.511)[*] c:\\windows\\vipextmst.dll - [B]Trojan.Win32.Vapsup.qo[/B] (DrWEB: Adware.Vapsup)[/LIST][/LIST]