Стоит антивирус КИС, делал полную проверку, вирусы не убиваются, КИС пишет, что система обращается к такому то ФАЙЛУ, именно EXE потом этот фаил превращается в несколько Кбайт
Стоит антивирус КИС, делал полную проверку, вирусы не убиваются, КИС пишет, что система обращается к такому то ФАЙЛУ, именно EXE потом этот фаил превращается в несколько Кбайт
Пофиксите с помощью Hijackthis строки:Программа AVZ - файл - выполнить скрипт - выполните скрипт:Код:O4 - HKLM\..\RunOnce: [PixelInstall] O4 - HKLM\..\RunOnce: [Reboot]После перезагрузки, карантин загрузите по ссылке http://virusinfo.info/upload_virus.php?tid=50830 , как написано в прил.3 правил, и повторите логи.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\Program Files\WebEx\ieatgpc.dll',''); QuarantineFile('C:\WINDOWS\system32\drivers\adidts.sys',''); QuarantineFile('c:\windows\system32\rserver30\newtstop.dll',''); QuarantineFile('C:\Program Files\release_30F\resources\images.dll',''); QuarantineFile('C:\Program Files\release_30F\MyClock.exe',''); QuarantineFile('C:\DOCUMENTS AND SETTINGS\GOF\LOCAL SETTINGS\APPLICATION DATA\.#\MBX@758@CF3238.###',''); QuarantineFile('c:\windows\svcadmin.exe',''); QuarantineFile('c:\windows\system32\hphmon06.exe',''); DeleteFile('C:\DOCUMENTS AND SETTINGS\GOF\LOCAL SETTINGS\APPLICATION DATA\.#\MBX@758@CF3238.###'); BC_DeleteFile('C:\DOCUMENTS AND SETTINGS\GOF\LOCAL SETTINGS\APPLICATION DATA\.#\MBX@758@CF3238.###'); BC_Activate; ExecuteSysClean; SetAVZPMStatus(true); RebootWindows(true); end.
сделано
мда все проги убиты =( все файлы .exe теперь мона удалять (
Последний раз редактировалось Rene-gad; 30.07.2009 в 10:29.
посмотрите еще свежие логи, вроде бы снова какой то вирус сегодня прошел с флешки.
что то очень тихо в теме( как долго ждать?(
Последний раз редактировалось Rene-gad; 30.07.2009 в 10:28.
все сделал, смотрите
Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
- Выполните скрипт
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); TerminateProcessByName('c:\windows\system32\tgsno.exe'); TerminateProcessByName('c:\windows\system32\n4d97haslh\j002.exe'); TerminateProcessByName('c:\windows\system32\n4d97haslh\j001.exe'); TerminateProcessByName('c:\windows\svcadmin.exe'); TerminateProcessByName('c:\windows\cefile.exe'); StopService('WinHelp32'); StopService('tgth'); StopService('tgsno'); StopService('serverdk'); StopService('FireFox'); StopService('efrgt'); StopService('cee'); StopService('Anyplace Control Security'); QuarantineFile('C:\WINDOWS\system32\WinHelp32.exe',''); QuarantineFile('C:\WINDOWS\system32\tgsno.exe',''); QuarantineFile('C:\WINDOWS\system32\server.exe',''); QuarantineFile('C:\WINDOWS\system32\N4D97HASLH\J002.exe',''); QuarantineFile('C:\WINDOWS\system32\N4D97HASLH\J001.exe',''); QuarantineFile('C:\WINDOWS\system32\firefox.exe',''); QuarantineFile('c:\windows\system32\cmptes.dll',''); QuarantineFile('C:\WINDOWS\System32\capisrv.dll',''); QuarantineFile('C:\WINDOWS\svcadmin.exe',''); QuarantineFile('C:\WINDOWS\cefile.exe',''); DeleteService('WinHelp32'); DeleteService('tgth'); DeleteService('tgsno'); DeleteService('serverdk'); DeleteService('FireFox'); DeleteService('efrgt'); DeleteService('cee'); DeleteService('Anyplace Control Security'); DeleteFile('C:\WINDOWS\system32\WinHelp32.exe'); DeleteFile('C:\WINDOWS\system32\tgsno.exe'); DeleteFile('C:\WINDOWS\system32\server.exe'); DeleteFile('C:\WINDOWS\system32\N4D97HASLH\J002.exe'); DeleteFile('C:\WINDOWS\system32\N4D97HASLH\J001.exe'); DeleteFile('C:\WINDOWS\system32\firefox.exe'); DeleteFile('c:\windows\system32\cmptes.dll'); DeleteFile('C:\WINDOWS\System32\capisrv.dll'); DeleteFile('C:\WINDOWS\svcadmin.exe'); DeleteFile('C:\WINDOWS\cefile.exe'); BC_ImportAll; ExecuteSysClean; BC_DeleteSvc('WinHelp32'); BC_DeleteSvc('tgth'); BC_DeleteSvc('tgsno'); BC_DeleteSvc('serverdk'); BC_DeleteSvc('FireFox'); BC_DeleteSvc('efrgt'); BC_DeleteSvc('cee'); BC_Activate; SetAVZPMStatus(True); RebootWindows(true); end.
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи
virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
посмотрите
Результат загрузки
Файл сохранён как 090730_141808_virus_4a7173609511a.zip
Размер файла 853132
MD5 099c837de68140a2dfc98b549862cc43
Файл закачан, спасибо!
В логах ничего подозрительного. Жалобы есть?
- Установите Сервис Пак 3 - возможно потребуется активация, и все последующие важные патчи.
Перед установкой Сервис Пака необходимо выгрузить все защитные приложения (антивирус, файрвол а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)
вроде стабильно идет все.
БЛАГОДАРЮ.
совет принял. в ближайщее время установим СП3.
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 37
- В ходе лечения обнаружены вредоносные программы:
- c:\windows\system32\cmptes.dll - Trojan-Downloader.Win32.Agent.ckvw ( DrWEB: Trojan.DownLoad.42029, BitDefender: Worm.Hosete.A )
- c:\windows\system32\winhelp32.exe - HEUR:Trojan.Win32.Generic ( DrWEB: Trojan.DownLoad.42056, BitDefender: Gen:Trojan.Heur.P.hC0@e4DmIshb )
Уважаемый(ая) ApoKrause, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.