Вобщем у меня проблемы с лечением этого вируса. HELP!!!
Вобщем у меня проблемы с лечением этого вируса. HELP!!!
Вроде бы АВЗ много почистил. Попробуйте перезагрузиться и сделать логи еще раз. Должно полегчать.
Необходимо также почистить файл Hosts.
Это сделать через АВЗ. (Сервис -- менеджер файл Hosts)
Должна остаться одна строчка
Куча всего у вас живет. А самая большая проблема - SP1.((Код:127.0.0.1 localhost
Последний раз редактировалось PavelA; 18.01.2007 в 19:29. Причина: Добавил про Hosts
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Сделал логи, вот что получилось.
А насчет Hosts, почистил все, только никакой строчки не осталось(одна пустая). Она должна была там быть или ее самому написать??? у меня ее не было, а писать самому там как я понял нельзя.
В программе Hijackthis пофиксите строчкиПрограмма AVZ - файл - выполнить скрипт - выполните скрипт:Код:O4 - HKLM\..\Run: [atmdiag] C:\WINDOWS\System32\atmconf.exe O4 - HKLM\..\Run: [shost] C:\WINDOWS\shost.exe s O20 - AppInit_DLLs: ipxwersv.dll e1.dll confatm.dll atmstat.dll O20 - Winlogon Notify: atmmgr - C:\WINDOWS\SYSTEM32\atmmgr32.dll O20 - Winlogon Notify: wstdactx - C:\WINDOWS\System32\wstdactx.dllпосле перезагрузки содержимое карантина отправьте, как написано в прил.2 правилКод:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('PDBoot.exe',''); QuarantineFile('C:\WINDOWS\System32\iproplus.dll',''); QuarantineFile('C:\WINDOWS\System32\btxppanel.dll',''); QuarantineFile('C:\Program Files\Kwyshell\MidpX\JadInvoker\MidpInvoker.dll',''); QuarantineFile('C:\WINDOWS\shost.exe',''); QuarantineFile('C:\WINDOWS\system32\atmperf.exe',''); QuarantineFile('C:\WINDOWS\System32\ipxwersv.dll',''); QuarantineFile('C:\WINDOWS\System32\e1.dll',''); QuarantineFile('C:\WINDOWS\System32\confatm.dll',''); QuarantineFile('C:\WINDOWS\System32\atmstat.dll',''); QuarantineFile('C:\WINDOWS\system32\atmmgr32.dll',''); QuarantineFile('c:\windows\system32\wstdactx.exe',''); QuarantineFile('c:\windows\system32\vttimer.exe',''); QuarantineFile('c:\windows\system32\s3hotkey.exe',''); QuarantineFile('c:\windows\system32\pctspk.exe',''); DeleteFile('C:\WINDOWS\system32\atmperf.exe'); DeleteFile('C:\WINDOWS\System32\e1.dll'); DeleteFile('C:\WINDOWS\System32\confatm.dll'); DeleteFile('C:\WINDOWS\System32\atmstat.dll'); DeleteFile('C:\WINDOWS\system32\atmmgr32.dll'); DeleteFile('C:\WINDOWS\System32\ipxwersv.dll'); DeleteFile('C:\WINDOWS\System32\wstdactx.dll'); DeleteFile('C:\WINDOWS\shost.exe'); ExecuteSysClean; RebootWindows(true); end.
Ссылка на вашу тему - http://virusinfo.info/showthread.php?t=7564. И сделайте, пожалуйста, новые логи.
Файл Hosts можно поправить, например, через тот же Hijackthis - кнопка "open the misc tools section" - "open hosts file manager" - добавьте строчку, которую указал PavelA
А какие файлы мне прислать в карантине???
И у меня комп сам перезагрезился когда выполнялся скрипт в АВЗ, так и должно быть???
И еще у меня не получилось в Hosts написать ту строчку, можно поподробнее как это сделать??
1.Прислать нужно те файлы, что попали в карантин, согласно Правил.
2. Компьютер все правильно сделал. Он и должен был перезагрузиться.
3. HijackThis - внизу справа Config.., далее сверху кнопка Misc Tools, Open hosts file manager -- далее добавляем строчку 127.0.0.1 localhost
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Вот здесь всё очень хорошо описано http://virusinfo.info/showthread.php?p=35587#post35587
Наше дело правое--победа будет за нами!!!
Вот я сделал логи.
А Hosts у меня править все равно не получилось. Где точно в HijackThis надо это прописать??? там окошко есть но в нем ничего не пишется, потом открывался блокнот, я в нем прописывал, но сохранить не получалось, сохраняется только текстовый файл.
Файлы пришли не все. Из того, что пришло:
C:\WINDOWS\System32\iproplus.dll - Win32.HLLM.Limar (по DrWeb)
C:\WINDOWS\System32\e1.dll - Win32.HLLM.Limar.based (по DrWeb)
C:\WINDOWS\System32\atmstat.dll - Win32.HLLM.Limar (по DrWeb)
В программе Hijackthis пофиксите строкиПрограмма AVZ - файл - выполнить скрипт - выполните скриптКод:O20 - AppInit_DLLs: e1.dll O20 - Winlogon Notify: atmmgr - C:\WINDOWS\ O20 - Winlogon Notify: wstdactx - C:\WINDOWS\Система будет перезагружена. Если, после перезагрузки, в карантин AVZ попадет файл C:\WINDOWS\System32\KBHook.dll - пришлите его, как написано в прил. 2 правил. В системе полтора антивируса - установлен, вроде бы, DrWeb, а виден еще работающий драйвер Касперского - определитесь, чем вы пользуетесь.У вас DrWeb лицензионный? Обновляете не вручную? В любом случае, я бы предложил скачать CureIt! - ftp://ftp.drweb.com/pub/drweb/cureit/cureit.exe и проверить систему, загрузившись в безопасном режиме. И еще: Windows XP SP1 ОФИЦИАЛЬНО не поддерживается Microsoft. Крайне рекомендуется поставить SP2 + все последующие дополнения. Только имейте в виду, что в вашем случае, после установки SP2, потребуется повторная активация Windows.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\System32\KBHook.dll',''); DeleteFile('e1.dll'); ExecuteSysClean; RebootWindows(true); end.
Червь выжил. Лечение придется продолжить.
1.В AVZ Файл -- Выполнить скрипт.
Будет перезагрузка.Код:begin SetAVZGuardStatus(True); QuarantineFile('\smsexpress.exe',''); QuarantineFile('C:\WINDOWS\system32\atmstat.dll',''); DeleteFile('e1.dll'); ExecuteSysClean; RebootWindows(true); end.
После нее прислать то что попало в карантин.
2. В Notepad набить строчку: 127.0.0.1 localhost
Сохранить в директории C:\WINDOWS\SYSTEM32\drivers\etc с именем hosts.txt
Затем переименовать его в файл hosts без расширения.
3. Профиксить в hijackThis след. строки:
4. Прошу хелперов обратить внимание на строчку:Код:O20 - Winlogon Notify: atmmgr - C:\WINDOWS\ O20 - Winlogon Notify: wstdactx - C:\WINDOWS\ O20 - AppInit_DLLs: e1.dll
PDBoot.exeautocheck autochk * - что-то тут не так.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
@Numb Опередил.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Лучше выполнить последовательно оба скрипта - два файла, которые добавил в карантин PavelA , я просмотрел . Или один, в таком видеПосле перезагрузки пришлите все, что попадет в карантин. Файл hosts поправьте, как предложил PavelA. Остальные замечания остаются в силе.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('\smsexpress.exe',''); QuarantineFile('C:\WINDOWS\system32\atmstat.dll',''); QuarantineFile('C:\WINDOWS\System32\KBHook.dll',''); DeleteFile('e1.dll'); Deletefile('C:\WINDOWS\system32\atmstat.dll'); ExecuteSysClean; RebootWindows(true); end.
Последний раз редактировалось Numb; 19.01.2007 в 18:36. Причина: добавлен скрипт AVZ
1.В AVZ выполнил скрипт, карантин отослал.
2.Hosts поправил.
3.Профиксил строчки O20 - Winlogon Notify: atmmgr - C:\WINDOWS\
O20 - Winlogon Notify: wstdactx - C:\WINDOWS\
а вот этой -> O20 - AppInit_DLLs: e1.dll у меня нет.
ПОвторите все логи. проблемы еще есть?
Сделал новые логи.
Пофиксите ещё вот это:
А так выглядит чисто.Код:R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.apeha.ru/
Строку пофиксил.
И еще у меня на флэш плеере были признаки вируса. Там во всех папках насоздавались exe шные файлы с названиями папок. Как мне его удалить, чтоб он опять комп не заразил. Если его просто подключить и форматнуть вирус на комп не перелезет?
Если обновить Dr.Web, то можно попробовать им проверить флэшку.
Лучше подумать о том как поставить SP2, а потом уже заниматься эксперимертами.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
И иконки папок? Wukill, стало быть. Если флэшку воткнуть, сказать "Ничего не делать" и отформатировать, то ничего страшного, по идее, не будет.
Объясните незнающему, что прохого в том что у меня SP1 стоит?
Уважаемый(ая) Evgeny, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.