Hidalgo Опубликовано 13 апреля, 2008 Жалоба Поделиться Опубликовано 13 апреля, 2008 Всем привет! Пожалуйста, помогите мне: в windows/system32 периодически появляются windowsupdate.exe, fixweb.exe которые Каспер распознает как вирусы, удаляет их, но они снова появляются там(даже при выключенном инете)!!!! (К тому же они постоянно сидят в автозагрузке, их отключение не сильно помогает) Полная проверка компа, переустановка винды не помогли! Что делать? Ссылка на комментарий Поделиться на другие сайты Поделиться
Hidalgo Опубликовано 13 апреля, 2008 Автор Жалоба Поделиться Опубликовано 13 апреля, 2008 Ещё не сказал, что комп переодически зависает(периоды очень частые) и иногда сам перезагружается... Как только файлы обьявятся вновь, прилеплю скрины Фаил, который Каспер видит, но удалить не может. "По месту жительства" файла нету... Ссылка на комментарий Поделиться на другие сайты Поделиться
ser208 Опубликовано 13 апреля, 2008 Жалоба Поделиться Опубликовано 13 апреля, 2008 Сделай логи, как в этом сообщении Pili Ссылка на комментарий Поделиться на другие сайты Поделиться
Hidalgo Опубликовано 13 апреля, 2008 Автор Жалоба Поделиться Опубликовано 13 апреля, 2008 Вот логи... Cureit находил заражённый файл в автозагрузке, удалил его. virusinfo_syscheck.zip virusinfo_syscure.zip hijackthis.zip virusinfo_syscheck.zip virusinfo_syscure.zip hijackthis.zip Ссылка на комментарий Поделиться на другие сайты Поделиться
akoK Опубликовано 13 апреля, 2008 Жалоба Поделиться Опубликовано 13 апреля, 2008 AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". beginSearchRootkit(true, true);SetAVZGuardStatus(true);ClearQuarantine;RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);SetServiceStart('grande48', 4);StopService('grande48');SetServiceStart('msupdate', 4);StopService('msupdate');QuarantineFile('C:\WINDOWS\system32\mswapi.dll','');QuarantineFile('c:\windows\system32\mswapi.dll','');QuarantineFile('msnmanegers.exe','');QuarantineFile('mswshl.dll','');QuarantineFile('C:\WINDOWS\System32\Oxigen.SCR','');QuarantineFile('C:\WINDOWS\system32\drivers\grande48.sys','');QuarantineFile('WLCtrl32.dll','');QuarantineFile('C:\WINDOWS\System32\rpcc.dll','');QuarantineFile('C:\WINDOWS\System32\ntos.exe','');QuarantineFile('C:\WINDOWS\System32\mmdmm.exe','');QuarantineFile('C:\WINDOWS\system32\srvany.exe','');QuarantineFile('c:\windows\system32\..\svchost.exe','');QuarantineFile('C:\WINDOWS\System32\klogon.dll','');DeleteFile('c:\windows\system32\..\svchost.exe');DeleteFile('C:\WINDOWS\System32\mmdmm.exe');DeleteFile('C:\WINDOWS\System32\ntos.exe');DeleteFile('C:\WINDOWS\System32\rpcc.dll');DeleteFile('WLCtrl32.dll');DeleteFile('C:\WINDOWS\system32\drivers\grande48.sys');DeleteFile('mswshl.dll');DeleteFile('msnmanegers.exe');DeleteFile('c:\windows\system32\mswapi.dll');DeleteFile('C:\WINDOWS\system32\mswapi.dll');DeleteService('grande48');DeleteService('msupdate');BC_ImportALL;ExecuteRepair(6);ExecuteRepair(8);BC_Activate;ExecuteSysClean;RebootWindows(true);end. После выполнения скрипта компьютер перезагрузится. beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end. Полученный архив отправьте на 6501<at>rambler.ru с указанной ссылкой на тему. Пофиксить в HijackThis следующие строчки O20 - Winlogon Notify: WLCtrl32 - WLCtrl32.dll (file missing)O20 - Winlogon Notify: rpcc - C:\WINDOWS\System32\rpcc.dll (file missing) O20 - Winlogon Notify: reset6 - mswshl.dll (file missing)O2 - BHO: (no name) - {e3a729da-eabc-df50-1842-dfd682644311} - C:\WINDOWS\System32\mswapi.dllF2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,C:\WINDOWS\System32\ntos.exe, Удивлен, что у Вас так мало зловредов прицепилось Platform: Windows XP SP1 (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Это несерьезно! Установите SP2+IE7+все хотфиксы Повторите логи. Ссылка на комментарий Поделиться на другие сайты Поделиться
Hidalgo Опубликовано 13 апреля, 2008 Автор Жалоба Поделиться Опубликовано 13 апреля, 2008 6501<at>rambler.ru а что эт за адрес? Ссылка на комментарий Поделиться на другие сайты Поделиться
Hidalgo Опубликовано 13 апреля, 2008 Автор Жалоба Поделиться Опубликовано 13 апреля, 2008 akoK Спасибо, но помогло не особо, тут же нашёл этот fixweb.exe(((( Ссылка на комментарий Поделиться на другие сайты Поделиться
akoK Опубликовано 13 апреля, 2008 Жалоба Поделиться Опубликовано 13 апреля, 2008 <at>-@ (маскировка от спам-ботов) А вы думали все одной ходкой решить? У Вас неплохой руткин на борту....и ворпос удалось ли снести с одного подхода не стоит. Повторите логи будем чистить, что выжило. Да еще одно, антивирус на момент выполнения скриптов, должен быть отключен...иначе он выступает защитой зловреда. Ссылка на комментарий Поделиться на другие сайты Поделиться
Рекомендуемые сообщения
Для публикации сообщений создайте учётную запись или авторизуйтесь
Вы должны быть пользователем, чтобы оставить комментарий
Создать учетную запись
Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!
Регистрация нового пользователяВойти
Уже есть аккаунт? Войти в систему.
Войти