Помогите вылечить, периодически появляется окно командной строки.
drweb не запускается
Помогите вылечить, периодически появляется окно командной строки.
drweb не запускается
Выполнить скрипт:
Загрузить весь карантин. -> http://virusinfo.info/upload_virus.php?tid=16922Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINNT\o.pif',''); QuarantineFile('C:\Documents and Settings\Boss.UPACKHLEB\Рабочий стол\msdos.pif',''); QuarantineFile('C:\WINNT\System32\svchost.exe',''); QuarantineFile('c:\winnt\system32\mspi.exe',''); QuarantineFile('C:\netsend.bat',''); QuarantineFile('C:\aaaxcopy.bat',''); QuarantineFile('C:\WINNT\System32\drivers\SIODRV.SYS',''); QuarantineFile('C:\WINNT\System32\drivers\iSMBIOS.SYS',''); QuarantineFile('c:\winnt\system32\msvk32.dll',''); BC_Importall; BC_Activate; RebootWindows(true); end.
Последний раз редактировалось drongo; 24.01.2008 в 13:20.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
на всякий случай добавил несколько , а что с hijackthis?
*Нажми и выполни, если хочешь чтобы помощь улучшилась и ускорилась
*MyFirefox Portable
special avz @ rapidshare.com
md5: 2091925798B7909E010E3F7E328C5F0D
хотел редактированием первого поста вставить лог от hijackthis - не получается, говорит что недостаточно каких то прав ????
Вставляй новым сообщением, ничего страшного.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
hijackthis logs,
карантин AVZ отправил, но при выполнении скрипта в него не попал svchost.exe
Будем удалять.C:\Documents and Settings\Boss.UPACKHLEB\Рабочий стол\msdos.pif,'C:\WINNT\o.pif',c:\winnt\system32\ mspi.exe,c:\winnt\system32\msvk32.dll Worm.Win32.Feebs.mx (по Касперскому)
Скрипт для удаления:
Сделать после него все логи снова.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(true); BC_DeleteFile('C:\Documents and Settings\Boss.UPACKHLEB\Рабочий стол\msdos.pif'); BC_DeleteFile('C:\WINNT\o.pif'); BC_DeleteFile('c:\winnt\system32\mspi.exe'); BC_DeleteFile('c:\winnt\system32\msvk32.dll'); BC_Activate; RebootWindows(true); end.
Последний раз редактировалось PavelA; 24.01.2008 в 14:58.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Симтомы остались
Последний раз редактировалось drongo; 24.01.2008 в 16:08.
1.Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )
2.AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.Код:O21 - SSODL: msvk32.dll - {5CDAAC71-D4E7-DEA7-4EDB-337CCC50D830} - c:\winnt\system32\msvk32.dllСделать новые логи, и смотрите какие файлы присоединяете, хотелось бы долечитьКод:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('c:\winnt\system32\msvk32.dll'); DeleteFile('c:\winnt\system32\mspi.exe'); BC_ImportAll; ExecuteSysClean; BC_Activate; ExecuteRepair(1); ExecuteRepair(6); ExecuteRepair(9); ExecuteRepair(12); RebootWindows(true); end.
*Нажми и выполни, если хочешь чтобы помощь улучшилась и ускорилась
*MyFirefox Portable
special avz @ rapidshare.com
md5: 2091925798B7909E010E3F7E328C5F0D
Больному лучше
Спасибо !!!
Удаление прошло успешно.
Посмотрите, нужно ли вам что-то из этого:
Лишнее отключим.Код:>> Службы: разрешена потенциально опасная служба RemoteRegistry (Служба удаленного управления реестром) >> Службы: разрешена потенциально опасная служба TlntSvr (Telnet) >> Службы: разрешена потенциально опасная служба Messenger (Служба сообщений) >> Службы: разрешена потенциально опасная служба Alerter (Оповещатель) >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий) >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing) >> Безопасность: разрешен автозапуск программ с CDROM >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...) >> Безопасность: к ПК разрешен доступ анонимного пользователя >>> Безопасность: В IE разрешены автоматические запросы элементов управления ActiveX >> Безопасность: Разрешены терминальные подключения к данному ПК >> Безопасность: Разрешена отправка приглашений удаленному помошнику
DrWeb видимо придется переустановить.
I am not young enough to know everything...
Всем спасибо за помощь !!!
с остальным разберусь
дрвеб надо по моему переставить на последнею версию с сайта разработчика, какие-то траблы с дровами
Чтобы уменьшить шанс заражения, на будущее :
1) Работать за компьютером с правами ограниченного пользователя.
2) Пользоваться для хождения по интернету альтернативным браузером с отключёнными скриптами по умолчанию с лёгкостью разрешая доверенным сайтам выполнять скрипты (Firefox позволяет делать в отличии от IE 7 ,6....)
3) Прочитать электронную книгу "Безопасный Интернет". Универсальная защита для Windows ME - Vista": http://security-advisory.newmail.ru
Вы можете нас отблагодарить, оказав нам помощь в сборе базы безопасных файлов : http://virusinfo.info/showthread.php?t=3519
Мы будем Вам очень благодарны!
*Нажми и выполни, если хочешь чтобы помощь улучшилась и ускорилась
*MyFirefox Portable
special avz @ rapidshare.com
md5: 2091925798B7909E010E3F7E328C5F0D
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 8
- В ходе лечения обнаружены вредоносные программы:
- c:\\documents and settings\\boss.upackhleb\\рабочий стол\\msdos.pif - Worm.Win32.Feebs.mw (DrWEB: Win32.HLLM.Graz)
- c:\\winnt\\o.pif - Worm.Win32.Feebs.mw (DrWEB: Win32.HLLM.Graz)
- c:\\winnt\\system32\\mspi.exe - Worm.Win32.Feebs.mx (DrWEB: Win32.HLLM.Limar.227
- c:\\winnt\\system32\\msvk32.dll - Worm.Win32.Feebs.mx (DrWEB: Win32.HLLM.Graz.based)
Уважаемый(ая) erie, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.