Помогите победить заразу. При запуске DrWeb он его в памяти блокирует. но при повторном запуске опять находит. Как убрать его совсем.
Прилагшаю логи. Вроде выполнил как было в правилах написано.
Помогите победить заразу. При запуске DrWeb он его в памяти блокирует. но при повторном запуске опять находит. Как убрать его совсем.
Прилагшаю логи. Вроде выполнил как было в правилах написано.
Выполните скрипт в AVZ:
Компьютер перезагрузится.Код:begin QuarantineFile('C:\WINDOWS\system32\msdvdr.pif',''); QuarantineFile('C:\WINDOWS\system32\CmUCReye.exe',''); BC_ImportALL; BC_QrSvc('runtime2'); BC_QrSvc('msdvdr'); BC_QrFile('C:\WINDOWS\Temp\startdrv.exe'); BC_DeleteSvc('runtime2'); BC_DeleteSvc('msdvdr'); BC_DeleteFile('C:\WINDOWS\system32\msdvdr.pif'); BC_DeleteFile('C:\WINDOWS\Temp\startdrv.exe'); BC_Activate; RebootWindows(true); end.
Пришлите карантин согласно приложению 3 правил.
Добавлено через 4 минуты
Пофиксите в HijackThis:
Код:O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll (file missing) O2 - BHO: Observer.BrowserMonitor - {0cd00297-9a19-4698-aef1-682fbe9fe88d} - mscoree.dll (file missing) O2 - BHO: SMART Notebook Download Plugin - {67BCF957-85FC-4036-8DC4-D4D80E00A77B} - (no file) O2 - BHO: Flash Module - {C87FA4A3-2474-4a3f-B413-67D515905024} - rasmoesa.dll (file missing) O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll (file missing) O4 - HKLM\..\Run: [startdrv] C:\WINDOWS\Temp\startdrv.exe O20 - Winlogon Notify: ati2paag - ati2paag.dll (file missing) O20 - Winlogon Notify: winwgz32 - winwgz32.dll (file missing)
Последний раз редактировалось Bratez; 22.11.2007 в 13:31. Причина: Добавлено
I am not young enough to know everything...
Профиксить в hijackthis:
Код:O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll (file missing) O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll (file missing) O20 - Winlogon Notify: ati2paag - ati2paag.dll (file missing) O20 - Winlogon Notify: winwgz32 - winwgz32.dll (file missing)
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Скрипт выполнил, пофиксил. Карантин прислал.
Сейчас после загрузки ругается DrWeb: C:\Windows\system32\msdvr.sys - болен BackDoor.HackDef.178
Логи AVZ и Hijackthis повторите, пожалуйста.
CmUCReye.exe - Trojan.Win32.Dialer.xs (свежак!)
Выполните скрипт в AVZ:
После этого новые логи - в студию.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('C:\WINDOWS\system32\CmUCReye.exe'); BC_DeleteFile('C:\WINDOWS\system32\CmUCReye.exe'); ExecuteSysClean; BC_Activate; RebootWindows(true); end.
I am not young enough to know everything...
Упс. Вот это не выполнил^
>CmUCReye.exe - Trojan.Win32.Dialer.xs (свежак!)
>Выполните скрипт в AVZ:
У меня очень долго делается скрипт лечения/карантина. Почти часа 2.
Логи все сделались. Но я не выполнил что написали выше.
Логи выложить, или сначала выполнить скрипт, а потом новые логи делать?
Выкладывайте, что сделали, может еще что добавим.
I am not young enough to know everything...
Вот логи без выполнения скрипта для: > CmUCReye.exe - Trojan.Win32.Dialer.xs (свежак!)
Все нормально. Выполняйте скрипт из сообщения #6 и посмотрите, что нужно / не нужно из этого списка:
Ненужное отключим для профилактики.Код:>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр) >> разрешена потенциально опасная служба TermService (Службы терминалов) >> разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP) >> разрешена потенциально опасная служба TlntSvr (Telnet) >> разрешена потенциально опасная служба TlntSvr (Telnet) >> разрешена потенциально опасная служба Schedule (Планировщик заданий) >> Безопасность: разрешен автозапуск программ с CDROM >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...) >> Безопасность: к ПК разрешен доступ анонимного пользователя >>> Безопасность: В IE разрешено использование ActiveX, не помеченных как безопасные >>> Безопасность: В IE разрешена загрузка подписанных элементов ActiveX без запроса >>> Безопасность: В IE разрешена загрузка неподписанных элементов ActiveX >>> Безопасность: В IE разрешены автоматические запросы элементов управления ActiveX >>> Безопасность: В IE разрешен запуск программ и файлов в IFRAME без запроса >> Безопасность: Разрешена отправка приглашений удаленному помошнику
I am not young enough to know everything...
Выполнил скрипт из сообщения #6
После перезагрузки опять ругается DrWeb: C:\Windows\system32\msdvr.sys - болен BackDoor.HackDef.178
Из сообщения #10 посмотрел список, что-то выключил, что-то заблокировал.
Что делать? Опять логи?
И нормально ли, что скрипт лечения/карантина делается более 1,5 часа?
Установленный на компьютере DrWeb устарел, скачайте новую версию 4.44 с сайта http://download.drweb.com/win и установите.
C:\Windows\system32\msdvr.sys в логах не светится.
Сделайте дополнительный лог, как написано здесь:
http://virusinfo.info/showthread.php?t=10387
только в обычном режиме.
I am not young enough to know everything...
Обычно быстрее. Очистите папку временных файлов Windows и временные файлы Internet Explorer.И нормально ли, что скрипт лечения/карантина делается более 1,5 часа?
Добавлено через 4 минуты
Тогда качайте CuteIt.А ключа то на него нового лицензионного нет.
ftp://ftp.drweb.com/pub/drweb/cureit/cureit.exe
И делайте полную проверку компьютера.
Добавлено через 1 минуту
Ключ от 4.33 должен подходить к 4.44, если он не пиратский.
Последний раз редактировалось AndreyKa; 22.11.2007 в 16:49. Причина: Добавлено
Ничего, кроме пары следов от ранее удаленных зловредов.
Выполните скрипт:
А C:\Windows\system32\msdvr.sys можно просто удалить руками...Код:begin BC_DeleteSvc('ati2psag'); BC_DeleteSvc('smtpdrv'); BC_Activate; RebootWindows(true); end.
I am not young enough to know everything...
Выполнил сообшение #17, кроме вручную удалить msdvr.sys.
Веб вроде не ругается. При запуске, когда он просто проверяет (не вручную когда задаешь что сканить) тоже ничего не находит.
Для полной уверенности сделать еще раз логи?
Пришлите этот файлик по правилам
Сделайте, только обновите базы AVZ предварительно.
I am not young enough to know everything...
Уважаемый(ая) Warlock, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.