Появились признаки вредоносного ПО

[edward-1]

Проблемы: Проблема в двух файлах: gebca.dll и gebca.exe их антивирус определяет как инфицированные. Файл gebca.exe антивирус удалил, но при перезагрузке система его настойчиво запрашивает. А вот с файлом gebca.dll не удается ничего сделать-он недоступен. Я понимаю, что он системный, но на него реагируют антивирусы.

[Макcим]

Логи нужны...

[edward-1]

Прикрепить логи как обычно не получилось-не грузятся.Попробовал способ вверху страницы.Получили?

[Макcим]

Нет. Туда лучше не посылать.

[edward-1]

Все кнопки работают, загрузка идет но в итоге ничего не прикреплено. что делать?

[V_Bond]

выкладывать логи на файлообменнник например на slil.ru

[edward-1]

Первый:http://slil.ru/25368659
Второй:http://slil.ru/25368677
Карантин:http://slil.ru/25368695

[Макcим]

Отключите и выгрузите антивирус! Обновите базы AVZ!

Выполните скрипт в AVZ

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 DeleteFile('C:\WINDOWS\system32\gebca.dll');
 DeleteFile('C:\WINDOWS\system32\gebca.exe');
 DeleteFile('C:\WINDOWS\system32\vmvpcbrk.dll');
 BC_ImportALL;
 BC_Activate;
 ExecuteSysClean;
 RebootWindows(true);
end.

Повторите логи.

Лог HijackThis тоже нужен!

[edward-1]

Антивирус выгрузил.
Базы AVZ обновил.
Логи:
1:http://slil.ru/25369000
2:http://slil.ru/25369006
3:HijackThis:http://slil.ru/25369017

[V_Bond]

карантин после скрипта где ?

[Макcим]

"Пофиксите" в HijackThis

Код:

O2 - BHO: (no name) - {788FD411-FF26-4B4F-A600-E1B629D5D10B} - C:\WINDOWS\system32\gebca.dll (file missing)
O2 - BHO: (no name) - {A95B2816-1D7E-4561-A202-68C0DE02353A} - C:\WINDOWS\system32\vmvpcbrk.dll (file missing)
O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)
O20 - Winlogon Notify: iifccax - iifccax.dll (file missing)
O20 - Winlogon Notify: vmvpcbrk - vmvpcbrk.dll (file missing)

AVZ => Файл => Мастер поиска и устранения проблем. Категория проблемы - поставьте "Системные проблемы", степень опасности - "Все проблемы". Нажмите "Пуск". Всё найденное следует пометить и пофиксить. Данную операцию повторить для категории "Настройки и твики браузера".

Что из этого не нужно?

Код:

>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику

Новые логи прицепите в теме.

[edward-1]

Пофиксил, но после запуска AVZ появляется вот это:http://slil.ru/25369209 как быть? Причем ее удается сбросить лишь с 20-й попытки.

[Bratez]

Ничего страшного, жмите Продолжить, вероятно несколько раз придется щелкнуть.

[edward-1]

Готово:
1.http://slil.ru/25369435
2.http://slil.ru/25369444
3.http://slil.ru/25369451

Добавлено через 49 минут

Бездельничаю

[Макcим]

Всё чисто.

[edward-1]

Maxim,я могу включить восстановление системы и загрузить антивирус?

[akok]

Да уже можно

[edward-1]

Спасибо парни, без вас!

[edward-1]

Здравствуйте! После вчерашнего лечения слетела дата, т.е. как бы сегодня у меня 19 декабря 2001г. Никак не могу побороть.Подскажите что-нибудь.Плиз.

[Макcим]

Когда последний раз меняли батарейку на материнке?