Пытаюсь вылечить систему сильно загаженную вирусами, вроде поборол используя cymantec и ваш avz
trojan dropper , Backdoor.Haxdoor , еще кучку и застрял на W32SpybotWorm, cymantec оповещает что он в system32\sysfldr.dll
поможите
Пытаюсь вылечить систему сильно загаженную вирусами, вроде поборол используя cymantec и ваш avz
trojan dropper , Backdoor.Haxdoor , еще кучку и застрял на W32SpybotWorm, cymantec оповещает что он в system32\sysfldr.dll
поможите
Выполните скрипт в AVZЗагрузите карантин согласно приложению №3 правил. Повторите логи.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(true); QuarantineFile('C:\WINDOWS\system32\amcis.dll',''); QuarantineFile('C:\WINDOWS\win_kernel.exe',''); QuarantineFile('C:\WINDOWS\system32\rpcc.dll',''); QuarantineFile('C:\WINDOWS\ShowWnd.exe',''); QuarantineFile('C:\WINDOWS\system32\DRIVERS\smtpdrv.sys',''); QuarantineFile('C:\WINDOWS\system32\Drivers\Wyh22.sys',''); QuarantineFile('C:\WINDOWS\system32\Drivers\Iwk20.sys',''); QuarantineFile('C:\WINDOWS\system32\sysfldr.dll',''); DeleteFile('C:\WINDOWS\system32\sysfldr.dll'); DeleteFile('C:\WINDOWS\system32\Drivers\Iwk20.sys'); DeleteFile('C:\WINDOWS\system32\Drivers\Wyh22.sys'); DeleteFile('C:\WINDOWS\system32\DRIVERS\smtpdrv.sys'); DeleteFile('C:\WINDOWS\system32\rpcc.dll'); DeleteFile('C:\WINDOWS\win_kernel.exe'); DeleteFile('C:\WINDOWS\system32\amcis.dll'); BC_ImportALL; BC_Activate; ExecuteSysClean; RebootWindows(true); end.
В дополнение к вышесказанному: поищите файл ntdump.exe
через AVZ - Сервис - Поиск файлов на диске (отметить диск С: ).
Если найдется - добавьте в карантин.
I am not young enough to know everything...
пробую
logи
Выполните скрипт в AVZПотом ещё одинКод:begin SearchRootkit(true, true); SetAVZGuardStatus(true); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\Wyh22', 'Start'); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\Iwk20', 'Start'); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\ovrscn.sys', 'Start'); RebootWindows(true); end.Загрузите карантин согласно приложению №3 правил. Повторите логи.Код:begin ClearQuarantine; SearchRootkit(true, true); SetAVZGuardStatus(true); QuarantineFile('C:\WINDOWS\system32\Drivers\Wyh22.sys',''); QuarantineFile('C:\WINDOWS\system32\Drivers\Iwk20.sys',''); DeleteFile('C:\WINDOWS\system32\Drivers\Iwk20.sys'); DeleteFile('C:\WINDOWS\system32\Drivers\Wyh22.sys'); DeleteFile('C:\WINDOWS\system32\ovrscn.sys'); DeleteFile('E:\autorun.inf'); BC_ImportALL; BC_Activate; ExecuteSysClean; RebootWindows(true); end.
вероятно после вирусов появилась такая проблемка с открытием папок через графику как бы папка открывается в режиме поиска или "с помошником по поиску" в этой папке , может проблема очевидная , ноя в основном в oc linux работаю , не знаю как исправить
Пофиксите в HijackThis:
Выполните скрипт в AVZ:Код:O2 - BHO: CIEStub Class - {EBBFE27C-BDF0-11D2-BBE5-00609419F467} - C:\WINDOWS\system32\amcis.dll (file missing) O4 - HKCU\..\Run: [Userinit] ntdump.exe O20 - Winlogon Notify: ovrscn - C:\WINDOWS\SYSTEM32\ovrscn.dll O20 - Winlogon Notify: rpcc - C:\WINDOWS\ O20 - Winlogon Notify: sysfldr - sysfldr.dll (file missing)
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); StopService('Iwk20'); SetServiceStart('Iwk20', 4); StopService('Wyh22'); SetServiceStart('Wyh22', 4); DeleteFile('C:\WINDOWS\Iwk20.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Iwk20.sys'); DeleteFile('C:\WINDOWS\system32\Drivers\Wyh22.sys'); DeleteFile('C:\WINDOWS\SYSTEM32\ovrscn.dll'); BC_ImportDeletedList; ExecuteSysClean; BC_DeleteSvc('Iwk20'); BC_DeleteSvc('Wyh22'); BC_Activate; RebootWindows(true); end.
Сделайте новые логи.
I am not young enough to know everything...
еще логи
немогу теперь вкл cymantec в режим постоянной защиты ?
Выполните скрипт в AVZПовторите лог virusinfo_syscheck.zip.Код:begin SysCleanAddFile('C:\WINDOWS\system32\amcis.dll'); ExecuteSysClean; RebootWindows(true); end.
Что из этого не нужно?Добавлено через 34 секундыКод:>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр) >> Службы: разрешена потенциально опасная служба TermService (Службы терминалов) >> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP) >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий) >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing) >> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола) >> Безопасность: разрешен автозапуск программ с CDROM >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...) >> Безопасность: к ПК разрешен доступ анонимного пользователя >> Безопасность: Разрешена отправка приглашений удаленному помошнику
Удалите его совсем, пользы от него ни какой.
Последний раз редактировалось Макcим; 17.01.2008 в 16:30. Причина: Добавлено
ничего не нужно
Тогда выполните ещё такой скриптКод:begin RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0); RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2); RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0); RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\CDROM','AutoRun', 0); SetServiceStart('RDSessMgr', 4); SetServiceStart('mnmsrvc', 4); SetServiceStart('Schedule', 4); SetServiceStart('SSDPSRV', 4); SetServiceStart('TermService', 4); SetServiceStart('RemoteRegistry', 4); end.
а каким антивирусом посоветуете в дальнейшем пользоваться
Следы этого amcis.dll так и остались...
Выполните такой скрипт:
и еще раз лог syscheck, надеюсь последнийКод:begin DelBHO('{92780B25-18CC-41C8-B9BE-3C9C571A8263}'); DelBHO('{EBBFE27C-BDF0-11D2-BBE5-00609419F467}'); RebootWindows(true); end.
I am not young enough to know everything...
еще логи
Чисто.
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 22
- В ходе лечения вредоносные программы в карантинах не обнаружены
Уважаемый(ая) cherry81, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.