aev88.sys и ip6fw.sys нашол DrWebcureit, и не удаляет после перезагрузки появляются снова, компютер шлет сам куда-то письма это видно по сканеру почты АВАСТ, и часто выскакивает "синий экран смерти".
aev88.sys и ip6fw.sys нашол DrWebcureit, и не удаляет после перезагрузки появляются снова, компютер шлет сам куда-то письма это видно по сканеру почты АВАСТ, и часто выскакивает "синий экран смерти".
Пофиксите в HijackThis:
Выполните скрипт в AVZ:Код:O2 - BHO: Google Module - {221BBF54-3327-4548-9006-84385B1A5840} - ssymman.dll (file missing) O4 - HKLM\..\Run: [WMedia32] wmedia32.exe O20 - Winlogon Notify: LogCrypt - C:\WINDOWS\SYSTEM32\LogCrypt.dll O20 - Winlogon Notify: partnershipreg - C:\WINDOWS\ O20 - Winlogon Notify: sysfldr - C:\WINDOWS\
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); StopService('Aev88'); SetServiceStart('Aev88', 4); QuarantineFile('C:\Documents and Settings\1\Local Settings\Application Data\cftmon.exe',''); QuarantineFile('C:\WINDOWS\system32\drivers\kcp.sys',''); QuarantineFile('C:\WINDOWS\system32\burito4190-22f5.sys',''); QuarantineFile('C:\WINDOWS\system32\_svchost.exe',''); QuarantineFile('C:\WINDOWS\system32\Drivers\zmpyoyvx.dat',''); QuarantineFile('C:\WINDOWS\system32\Drivers\Aev88.sys',''); QuarantineFile('C:\WINDOWS\system32\LogCrypt.dll',''); QuarantineFile('C:\WINDOWS\system32\cssrss.exe',''); DeleteFile('C:\WINDOWS\system32\cssrss.exe'); DeleteFile('C:\WINDOWS\system32\LogCrypt.dll'); DeleteFile('C:\WINDOWS\system32\Drivers\Aev88.sys'); DeleteFile('C:\WINDOWS\system32\Drivers\zmpyoyvx.dat'); DeleteFile('C:\WINDOWS\system32\_svchost.exe'); DeleteFile('C:\WINDOWS\system32\burito4190-22f5.sys'); DeleteFile('C:\WINDOWS\system32\drivers\kcp.sys'); DeleteFile('C:\Documents and Settings\1\Local Settings\Application Data\cftmon.exe'); DeleteFile('C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\A88TKTZA\sinn[1].exe'); DeleteFile('C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\A88TKTZA\systemdll3[1].exe'); DeleteFile('C:\WINDOWS\system32\drivers\ip6fw.sys'); DeleteFile('C:\WINDOWS\system32\herjt320.exe'); DeleteFile('C:\WINDOWS\Temp\6D22.tmp'); BC_ImportALL; BC_DeleteSvc('Aev88'); ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=17882).
Очистите временные файлы IE.
Сделайте новые логи.
I am not young enough to know everything...
Большое спасибо!!! вирусов как будто нет
карантин и логи выслал.
Все нормально, только похоже, вы забыли пофиксить в HijackThis:
Пофиксите, перезагрузитесь и повторите лог HijackThis.Код:F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe O2 - BHO: Google Module - {221BBF54-3327-4548-9006-84385B1A5840} - ssymman.dll (file missing) O4 - HKLM\..\Run: [WMedia32] wmedia32.exe O20 - Winlogon Notify: LogCrypt - LogCrypt.dll (file missing) O20 - Winlogon Notify: partnershipreg - C:\WINDOWS\ O20 - Winlogon Notify: sysfldr - C:\WINDOWS\
Добавлено через 36 секунд
Рекомендуется отключить все что вам не нужно из этого списка:
Код:>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр) >> Службы: разрешена потенциально опасная служба TermService (Службы терминалов) >> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP) >> Службы: разрешена потенциально опасная служба Alerter (Оповещатель) >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing) >> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола) >> Безопасность: разрешен автозапуск программ с CDROM >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...) >> Безопасность: к ПК разрешен доступ анонимного пользователя >> Безопасность: Разрешена отправка приглашений удаленному помошнику
Последний раз редактировалось Bratez; 12.02.2008 в 13:36. Причина: Добавлено
I am not young enough to know everything...
Профиксил но ОНО(HijackThis) написало:И еще как отключить:was not found in the Registry>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
Опять все на месте. Попробуйте фиксить указанные строчки каждую в отдельности (ставим галочку, жмем Fix Checked, потом Scan и т.д.).
I am not young enough to know everything...
Сделал!!!
Всё профиксилось. Проблемы какие-то наблюдаются?
Для отключения
выполние в АВЗ>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
Код:begin RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0); RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2); RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0); RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\CDROM','AutoRun', 0); RebootWindows(true); end.
Все работает отлично!!! БОЛЬШОЕ СПАСИБО ВАШЕМУ САЙТУ!!!
ЕСЛИ КАК ТО МОГУ ПОМОЧ ТО ПОМОГУ ОБР..
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 35
- В ходе лечения обнаружены вредоносные программы:
- c:\\documents and settings\\localservice\\local settings\\temporary internet files\\content.ie5\\a88tktza\\sinn[1].exe - Trojan-Downloader.Win32.Diehard.dt (DrWEB: BackDoor.Bulknet)
- c:\\documents and settings\\localservice\\local settings\\temporary internet files\\content.ie5\\a88tktza\\systemdll3[1].exe - Trojan-Downloader.Win32.Diehard.dt (DrWEB: BackDoor.Bulknet)
- c:\\windows\\system32\\cssrss.exe - Backdoor.Win32.Agent.eip (DrWEB: BackDoor.Nuno)
- c:\\windows\\system32\\drivers\\aev88.sys - Trojan-Downloader.Win32.Mutant.aim (DrWEB: Trojan.Rntm)
- c:\\windows\\system32\\drivers\\zmpyoyvx.dat - Trojan.Win32.Agent.cid (DrWEB: Trojan.Sentinel)
- c:\\windows\\system32\\herjt320.exe - Trojan-Downloader.Win32.Diehard.dt (DrWEB: BackDoor.Bulknet)
- c:\\windows\\system32\\logcrypt.dll - Trojan.Win32.Agent.eub (DrWEB: Trojan.DownLoader.46414)
- c:\\windows\\system32\\sysfldr.dll - Trojan.Win32.Agent.ewc (DrWEB: BackDoor.Mahaon)
- c:\\windows\\temp\\6d22.tmp - Trojan-Downloader.Win32.Diehard.dt (DrWEB: BackDoor.Bulknet)
Уважаемый(ая) Sany Bicker, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.