помогите пожалуйста эту хрень удалить
Реально не получается самому это сделать. Сначала думал, что мешает процесс cssrss.exe, но его не нашёл ничем
Nod32 постоянно находит этих тварей, например в темповой папке или c:\docs & sett\all users\doc..\
помогите пожалуйста эту хрень удалить
Реально не получается самому это сделать. Сначала думал, что мешает процесс cssrss.exe, но его не нашёл ничем
Nod32 постоянно находит этих тварей, например в темповой папке или c:\docs & sett\all users\doc..\
антивирус регулярно обновляете ?
пофиксите ....
выполните скрипт ....Код:O20 - Winlogon Notify: LogCrypt - C:\WINDOWS\ O20 - Winlogon Notify: partnershipreg - C:\WINDOWS\
пришлите карантин согласно приложения 3 правил ...Код:begin RegKeyIntParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Hardware Profiles\0001\System\CurrentControlSet\Enum\ROOT\LEGACY_Hks53\0000', 'CSConfigFlags', '1'); BC_QrFile('C:\WINDOWS\System32\drivers\Hks53.sys'); BC_DeleteSvc('Hks53'); BC_DeleteFile('C:\WINDOWS\System32\drivers\Hks53.sys'); QuarantineFile('C:\WINDOWS\system32\cssrss.exe',''); QuarantineFile('C:\WINDOWS\system32\drivers\tifm21.sys',''); DeleteFile('C:\WINDOWS\system32\cssrss.exe'); BC_Importall; ExecuteSysClean; ExecuteRepair(11); BC_Activate; RebootWindows(true); end.
повторите логи ...
Последний раз редактировалось V_Bond; 20.02.2008 в 16:51.
ошибка синтаксиса в скрипте
Ошибка: ')' expected в позиции 2:122
поправил ... лишняя кавычка прицепилась ...
виндовс больше не запускается
пришлось сделать последнюю удачную загрузку
Выполните такой скрипт:
После перезагрузки сделайте новый лог syscheck (п.10 правил).Код:begin SearchRootkit(false, true); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\Hks53', 'Start'); BC_QrFile('C:\WINDOWS\System32\drivers\Hks53.sys'); BC_DeleteSvc('Hks53'); BC_DeleteFile('C:\WINDOWS\System32\drivers\Hks53.sys'); BC_Activate; RebootWindows(true); end.
I am not young enough to know everything...
повторил операцию. после выполнения скрипта выдается несколько ошибок относительно файла cssrss.exe ... больше уже не успел заметить
комп уходит в ребут, затем BSOD и снова ребут. в безопасном не грузится. помогает, опять же, только последняя удачная загрузка
новый скрипт щас попробую
Добавлено через 6 минут
Новый скрипт сработал. что-то нейтрализовал. комп перезагрузился. при входе в систему выдал поиск нового устройства "Нет данных", драйверов для которого не нашёл.
запутил все по новой с пункта 8 по 10
выложить логи снова, в т.ч. и карантин из avz, если будет?
Последний раз редактировалось Cr00t; 20.02.2008 в 17:09. Причина: Добавлено
Просто логов пока достаточно
Новый скан системы, как вы и попросили. Пункт 10
То, что есть в файл:
D:\autorun.inf - это рекавери-партишн ноутбука, которая зачем-то отображается в винде (HP фирма ноутбука)
C:\SWSETUP\ - тут драйвера для него лежат. там вируса быть не может
На счет MATLAB не не уверен тоже, но хуже не будет, если удалить
Очень хорошо. Выполните такой скрипт:
Вот эти два файла пришлите по правилам:Код:begin BC_DeleteSvc('Dmv33'); BC_DeleteSvc('diperto3475-1cdc'); BC_Activate; RebootWindows(true); end.
C:\Program Files\amsys\mfc42.dll
D:\autorun.inf
Для надежности обновите базы AVZ и сделайте полный комплект логов.
Добавлено через 2 минуты
Рекомендуется отключить все что вам не нужно из этого списка:
Код:>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов) >> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP) >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий) >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing) >> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола) >> Безопасность: разрешен автозапуск программ с CDROM >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...) >> Безопасность: к ПК разрешен доступ анонимного пользователя >> Безопасность: Разрешена отправка приглашений удаленному помошнику
Последний раз редактировалось Bratez; 20.02.2008 в 17:46. Причина: Добавлено
I am not young enough to know everything...
Скрипт выполнил. Windows загрузился без проблем. Запускаю пункты 8-10
Добавлено через 2 минуты
Добавил файлы карантина по ссылке: http://virusinfo.info/upload_virus.php?tid=18359
Файл сохранён как 080220_085451_virus_47bc3f3be48d8.zip
Размер файла 3967
MD5 0cce2d85694b41c2366e55a13e141421
Последний раз редактировалось Cr00t; 20.02.2008 в 17:55. Причина: Добавлено
C:\Program Files\amsys\mfc42.dll -чистый
Мне кажется , что папки C:\Program Files\AKL\ и Program Files\amsys - крайне подозрительны
Я упаковал все их содержимое в архивы и положил сюда: http://www.rapidshare.ru/585890
Не могли бы по случаю посмотреть?
отправте по ссылке над темой ....
Файл сохранён как 080220_092725_akl-amsys_47bc46dd607ad.zip
Размер файла 53823
MD5 116644c407ae1d09264b7af2ff9587f8
пароль virus
новые логи:
в Багдаде все спокойно .... ( влогах ничего подозрительного )
по поводу отправленных файлов подождем ответ вирлаба ...
Отлично! Я рад! Спасибо!
Мне кажется эти вирусы после установки матлаба с диска у человека появились
Статистика проведенного лечения:
- Получено карантинов: 3
- Обработано файлов: 6
- В ходе лечения вредоносные программы в карантинах не обнаружены
Уважаемый(ая) Cr00t, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.