Вобщем у меня проблемы с лечением этого вируса. HELP!!!
Printable View
Вобщем у меня проблемы с лечением этого вируса. HELP!!!
Вроде бы АВЗ много почистил. Попробуйте перезагрузиться и сделать логи еще раз. Должно полегчать.
Необходимо также почистить файл Hosts.
Это сделать через АВЗ. (Сервис -- менеджер файл Hosts)
Должна остаться одна строчка
[CODE]127.0.0.1 localhost[/CODE]
Куча всего у вас живет. А самая большая проблема - SP1.((
Сделал логи, вот что получилось.
А насчет Hosts, почистил все, только никакой строчки не осталось(одна пустая). Она должна была там быть или ее самому написать??? у меня ее не было, а писать самому там как я понял нельзя.
В программе Hijackthis [URL="http://virusinfo.info/showthread.php?t=4491"]пофиксите[/URL] строчки [code]O4 - HKLM\..\Run: [atmdiag] C:\WINDOWS\System32\atmconf.exe
O4 - HKLM\..\Run: [shost] C:\WINDOWS\shost.exe s
O20 - AppInit_DLLs: ipxwersv.dll e1.dll confatm.dll atmstat.dll
O20 - Winlogon Notify: atmmgr - C:\WINDOWS\SYSTEM32\atmmgr32.dll
O20 - Winlogon Notify: wstdactx - C:\WINDOWS\System32\wstdactx.dll[/code] Программа AVZ - файл - выполнить скрипт - выполните скрипт:[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('PDBoot.exe','');
QuarantineFile('C:\WINDOWS\System32\iproplus.dll','');
QuarantineFile('C:\WINDOWS\System32\btxppanel.dll','');
QuarantineFile('C:\Program Files\Kwyshell\MidpX\JadInvoker\MidpInvoker.dll','');
QuarantineFile('C:\WINDOWS\shost.exe','');
QuarantineFile('C:\WINDOWS\system32\atmperf.exe','');
QuarantineFile('C:\WINDOWS\System32\ipxwersv.dll','');
QuarantineFile('C:\WINDOWS\System32\e1.dll','');
QuarantineFile('C:\WINDOWS\System32\confatm.dll','');
QuarantineFile('C:\WINDOWS\System32\atmstat.dll','');
QuarantineFile('C:\WINDOWS\system32\atmmgr32.dll','');
QuarantineFile('c:\windows\system32\wstdactx.exe','');
QuarantineFile('c:\windows\system32\vttimer.exe','');
QuarantineFile('c:\windows\system32\s3hotkey.exe','');
QuarantineFile('c:\windows\system32\pctspk.exe','');
DeleteFile('C:\WINDOWS\system32\atmperf.exe');
DeleteFile('C:\WINDOWS\System32\e1.dll');
DeleteFile('C:\WINDOWS\System32\confatm.dll');
DeleteFile('C:\WINDOWS\System32\atmstat.dll');
DeleteFile('C:\WINDOWS\system32\atmmgr32.dll');
DeleteFile('C:\WINDOWS\System32\ipxwersv.dll');
DeleteFile('C:\WINDOWS\System32\wstdactx.dll');
DeleteFile('C:\WINDOWS\shost.exe');
ExecuteSysClean;
RebootWindows(true);
end.[/code] после перезагрузки содержимое карантина отправьте, как написано в прил.2 [URL="http://virusinfo.info/showthread.php?t=1235"]правил
[/URL] Ссылка на вашу тему - [url]http://virusinfo.info/showthread.php?t=7564[/url]. И сделайте, пожалуйста, новые логи.
Файл Hosts можно поправить, например, через тот же Hijackthis - кнопка "open the misc tools section" - "open hosts file manager" - добавьте строчку, которую указал PavelA
А какие файлы мне прислать в карантине???
И у меня комп сам перезагрезился когда выполнялся скрипт в АВЗ, так и должно быть???
И еще у меня не получилось в Hosts написать ту строчку, можно поподробнее как это сделать??
1.Прислать нужно те файлы, что попали в карантин, согласно Правил.
2. Компьютер все правильно сделал. Он и должен был перезагрузиться.
3. HijackThis - внизу справа Config.., далее сверху кнопка Misc Tools, Open hosts file manager -- далее добавляем строчку 127.0.0.1 localhost
[QUOTE=Evgeny;91815]И еще у меня не получилось в Hosts написать ту строчку, можно поподробнее как это сделать??[/QUOTE]
Вот здесь всё очень хорошо описано [url]http://virusinfo.info/showthread.php?p=35587#post35587[/url]
Вот я сделал логи.
А Hosts у меня править все равно не получилось. Где точно в HijackThis надо это прописать??? там окошко есть но в нем ничего не пишется, потом открывался блокнот, я в нем прописывал, но сохранить не получалось, сохраняется только текстовый файл.
Файлы пришли не все. Из того, что пришло:
C:\WINDOWS\System32\iproplus.dll - Win32.HLLM.Limar (по DrWeb)
C:\WINDOWS\System32\e1.dll - Win32.HLLM.Limar.based (по DrWeb)
C:\WINDOWS\System32\atmstat.dll - Win32.HLLM.Limar (по DrWeb)
В программе Hijackthis [URL="http://virusinfo.info/showthread.php?t=4491"]пофиксите[/URL] строки [code]O20 - AppInit_DLLs: e1.dll
O20 - Winlogon Notify: atmmgr - C:\WINDOWS\
O20 - Winlogon Notify: wstdactx - C:\WINDOWS\[/code] Программа AVZ - файл - выполнить скрипт - выполните скрипт [code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\System32\KBHook.dll','');
DeleteFile('e1.dll');
ExecuteSysClean;
RebootWindows(true);
end.[/code] Система будет перезагружена. Если, после перезагрузки, в карантин AVZ попадет файл C:\WINDOWS\System32\KBHook.dll - пришлите его, как написано в прил. 2 [URL="http://virusinfo.info/showthread.php?t=1235"]правил[/URL]. В системе полтора антивируса - установлен, вроде бы, DrWeb, а виден еще работающий драйвер Касперского - определитесь, чем вы пользуетесь.У вас DrWeb лицензионный? Обновляете не вручную? В любом случае, я бы предложил скачать CureIt! - [url]ftp://ftp.drweb.com/pub/drweb/cureit/cureit.exe[/url] и проверить систему, загрузившись в безопасном режиме. И еще: Windows XP SP1 ОФИЦИАЛЬНО не поддерживается Microsoft. Крайне рекомендуется поставить SP2 + все последующие дополнения. Только имейте в виду, что в вашем случае, после установки SP2, потребуется повторная активация Windows.
Червь выжил. Лечение придется продолжить.
1.В AVZ Файл -- Выполнить скрипт.
[CODE]begin
SetAVZGuardStatus(True);
QuarantineFile('\smsexpress.exe','');
QuarantineFile('C:\WINDOWS\system32\atmstat.dll','');
DeleteFile('e1.dll');
ExecuteSysClean;
RebootWindows(true);
end.[/CODE]
Будет перезагрузка.
После нее прислать то что попало в карантин.
2. В Notepad набить строчку: 127.0.0.1 localhost
Сохранить в директории C:\WINDOWS\SYSTEM32\drivers\etc с именем hosts.txt
Затем переименовать его в файл hosts без расширения.
3. Профиксить в hijackThis след. строки:
[CODE]O20 - Winlogon Notify: atmmgr - C:\WINDOWS\
O20 - Winlogon Notify: wstdactx - C:\WINDOWS\
O20 - AppInit_DLLs: e1.dll
[/CODE]
4. Прошу хелперов обратить внимание на строчку:
PDBoot.exeautocheck autochk * - что-то тут не так.
@Numb Опередил.
Лучше выполнить последовательно оба скрипта - два файла, которые добавил в карантин PavelA , я просмотрел :( . Или один, в таком виде [code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('\smsexpress.exe','');
QuarantineFile('C:\WINDOWS\system32\atmstat.dll','');
QuarantineFile('C:\WINDOWS\System32\KBHook.dll','');
DeleteFile('e1.dll');
Deletefile('C:\WINDOWS\system32\atmstat.dll');
ExecuteSysClean;
RebootWindows(true);
end.[/code] После перезагрузки пришлите все, что попадет в карантин. Файл hosts поправьте, как предложил PavelA. Остальные замечания остаются в силе.
1.В AVZ выполнил скрипт, карантин отослал.
2.Hosts поправил.
3.Профиксил строчки O20 - Winlogon Notify: atmmgr - C:\WINDOWS\
O20 - Winlogon Notify: wstdactx - C:\WINDOWS\
а вот этой -> O20 - AppInit_DLLs: e1.dll у меня нет.
ПОвторите все логи. проблемы еще есть?
Сделал новые логи.
Пофиксите ещё вот это:
[code]R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.apeha.ru/[/code]
А так выглядит чисто.
Строку пофиксил.
И еще у меня на флэш плеере были признаки вируса. Там во всех папках насоздавались exe шные файлы с названиями папок. Как мне его удалить, чтоб он опять комп не заразил. Если его просто подключить и форматнуть вирус на комп не перелезет?
Если обновить Dr.Web, то можно попробовать им проверить флэшку.
Лучше подумать о том как поставить SP2, а потом уже заниматься эксперимертами.
И иконки папок? Wukill, стало быть. Если флэшку воткнуть, сказать "Ничего не делать" и отформатировать, то ничего страшного, по идее, не будет.
Объясните незнающему, что прохого в том что у меня SP1 стоит?
Дыра на дыре, значит. В ближайшее время вам очередного зверя впингвинят. Причём это не под вопросом, а гарантированно. Сроки только неизвестны.
Флэшку я форматнул, так что вирусов у меня больше не наблюдается.
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]12[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\atmstat.dll - [B]Email-Worm.Win32.Warezov.ke[/B] (DrWEB: Win32.HLLM.Limar)[*] c:\\windows\\system32\\e1.dll - [B]Email-Worm.Win32.Warezov.jw[/B] (DrWEB: Win32.HLLM.Limar.based)[*] c:\\windows\\system32\\iproplus.dll - [B]Email-Worm.Win32.Warezov.la[/B] (DrWEB: Win32.HLLM.Limar)[/LIST][/LIST]