-
Junior Member
- Вес репутации
- 51
Файловый вирус и проблема со звуком
Файловый вирус с ошибкой Exception Processing Message c0000013 Parameters 75b3bf7c 4 75b3bf7c 75b3bf7c и скорее всего AdWare.Win32.FearAds.byc из поста: Активных устройств-микшеров не обнаружено(заявка №6645). Проверял, как dr.web cureit, так и kaspersky virus removal tool, они конечно нашли много, но именно эти проблемы не исправили! Файловый вирус, как я понял сидит у меня на флэхе, незнаю как сделать лог(, будет ли AVZ лезть на флэху, если проверять скриптами. Как обнаружился файловый вирус и почему я думаю, что он сидит на флэхе: запустил с флэхи AVZ проверить комп, начал чистить систему и при очистки корзины он мне выдал Exception Processing Message c0000013 Parameters 75b3bf7c 4 75b3bf7c 75b3bf7c Помогите, чем смогите! Заранее примного благодарен!
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
- Системное восстановление
Пофиксите в hijackthis -
Код:
O4 - HKLM\..\Policies\Explorer\Run: [Microsoft Driver Setup] C:\WINDOWS\system32\Zsnkstm.exe
Выполните скрипт в АВЗ -
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('%system32%\usеrinit.exe','');
QuarantineFile('C:\WINDOWS\system32\Zsnkstm.exe','');
DeleteFile('C:\WINDOWS\system32\Zsnkstm.exe');
DeleteFile('C:\Windows\Tasks\Scheduled Update for Ask Toolbar.job');
DeleteFile('C:\Windows\Tasks\SysScan.job');
DelAutorunByFileName('C:\WINDOWS\system32\Zsnkstm.exe');
RegKeyResetSecurity('HKLM', 'SYSTEM\CurrentControlSet\Services\zvsrudfx');
RegKeyResetSecurity('HKLM', 'SYSTEM\CurrentControlSet\Services\zvsrudfx\Parameters');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.
Повторите логи. Также лучше удалить следующее, если Вам это не нужно - C:\WINDOWS\system32\vksaver.dll, C:\Program Files\Ask.com. Если дадите добро - снесём.
-
-
Junior Member
- Вес репутации
- 51
Спасибо! Карантин прислал, логи прислал, вроде все заработало, относительно AdWare.Win32.FearAds.byc, а про флэшку я так и не понял...???
Также лучше удалить следующее, если Вам это не нужно - C:\WINDOWS\system32\vksaver.dll, C:\Program Files\Ask.com. Если дадите добро - снесём.
Фиг с ними, я их сам придушу))
Так же хотел проконсультироваться, если можно в этом посте! Атакует комп с IPшником моей подсети, типа:
http://1*2.1*.9.1*9:9**1/altgndtd Win32/Conficker.AE червь NT AUTHORITY\SYSTEM
я его прям после атаки пингую, а он не пингуется, ни один пакет..., как так???
замаскировал цифры * - ми
-
Junior Member
- Вес репутации
- 51
Нет на..! Не то!!! Все как в посте: Активных устройств-микшеров не обнаружено(заявка №6645)! Вир запускается через 5-10 мин...мы его не грохнули
Добавлено через 8 минут
spyh.sys
Вот это точно надо грохать!!!!!!!!!!!!
Добавлено через 1 минуту
100%!!!!
Последний раз редактировалось zakhar[ov]; 07.07.2010 в 09:31.
Причина: Добавлено
-
Сначала давайте с файлами разберёмся -
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
- Системное восстановление
Пофиксите в hijackthis -
Код:
O2 - BHO: Ask Toolbar BHO - {D4027C7F-154A-4066-A1AD-4243D8127440} - (no file)
O3 - Toolbar: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - (no file)
Выполните скрипт в АВЗ -
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\system32\drivers\cmipci.sys','');
QuarantineFile('C:\WINDOWS\system32\nreptcqs.dll','');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine2.zip');
end.
Пришлите файл quarantine2.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.
Ещё вот что попробуйте сделать, сначала поищите через проводник этот файл - C:\WINDOWS\system32\usеrinit.exe, виден ли он там, если да - запакуйте с паролем virus и пришлите как карантин, если нет попробуйте так - АВЗ - Сервис - Поиск файлов на диске, отметьте диск С и запустите поиск, если найдёт - поставьте галочку и - "Копировать омеченные файлы в карантин". Дальше будем думать.
-
-
Junior Member
- Вес репутации
- 51
-
Сообщение от
zakhar[ov]
spyh.sys
Вот это точно надо грохать!!!!!!!!!!!!
Драйвер от программы эмуляции диска не надо грохать, но если она Вам не нужна и очень хочется - можно. У Вас Deamon Tools?
-
-
Junior Member
- Вес репутации
- 51
есть такой... просто наткнулся в логе, а у вас как раз такой же лечили))
-
Сообщение от
zakhar[ov]
Вир запускается через 5-10 мин...мы его не грохнули
Нормально-нормально, сейчас добьём, он маскировался.
-
-
Junior Member
- Вес репутации
- 51
-
Выполните скрипт в АВЗ -
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('C:\WINDOWS\system32\nreptcqs.dll');
DelAutorunByFileName('C:\WINDOWS\system32\nreptcqs.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
Ещё логи не помешает сделать для контроля, отпишитесь о проблемах.
Кстати заметьте spyh.sys стал speb.sys, это так Даемон тулз балуется
Последний раз редактировалось olejah; 07.07.2010 в 23:57.
Причина: Убрал команды удаления
-
-
Junior Member
- Вес репутации
- 51
-
- Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
SetAVZPMStatus(true);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
QuarantineFile('globalroot\systemroot\system32\usеrinit.exe','');
DeleteService('userinit');
DeleteFile('globalroot\systemroot\system32\usеrinit.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)
-
-
Junior Member
- Вес репутации
- 51
-
обновите систему
- Установите Internet-Explorer 8.(даже если Вы его не используете)
- Поставте все последние обновления системы Windows - тут
- Обновите Java .
после обновления:
- Откройте файл ScanVuln.txt. Выполните из этого файла скрипт в AVZ. В результате работы скрипта будет создан файл - avz_log.txt.
Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления(если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.
-
-
Junior Member
- Вес репутации
- 51
Все сделал!
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 4
- Обработано файлов: 14
- В ходе лечения вредоносные программы в карантинах не обнаружены
-