Hidalgo Posted April 13, 2008 Report Share Posted April 13, 2008 Всем привет! Пожалуйста, помогите мне: в windows/system32 периодически появляются windowsupdate.exe, fixweb.exe которые Каспер распознает как вирусы, удаляет их, но они снова появляются там(даже при выключенном инете)!!!! (К тому же они постоянно сидят в автозагрузке, их отключение не сильно помогает) Полная проверка компа, переустановка винды не помогли! Что делать? Quote Link to comment Share on other sites More sharing options...
Hidalgo Posted April 13, 2008 Author Report Share Posted April 13, 2008 Ещё не сказал, что комп переодически зависает(периоды очень частые) и иногда сам перезагружается... Как только файлы обьявятся вновь, прилеплю скрины Фаил, который Каспер видит, но удалить не может. "По месту жительства" файла нету... Quote Link to comment Share on other sites More sharing options...
ser208 Posted April 13, 2008 Report Share Posted April 13, 2008 Сделай логи, как в этом сообщении Pili Quote Link to comment Share on other sites More sharing options...
Hidalgo Posted April 13, 2008 Author Report Share Posted April 13, 2008 Вот логи... Cureit находил заражённый файл в автозагрузке, удалил его. virusinfo_syscheck.zip virusinfo_syscure.zip hijackthis.zip virusinfo_syscheck.zip virusinfo_syscure.zip hijackthis.zip Quote Link to comment Share on other sites More sharing options...
akoK Posted April 13, 2008 Report Share Posted April 13, 2008 AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". beginSearchRootkit(true, true);SetAVZGuardStatus(true);ClearQuarantine;RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);SetServiceStart('grande48', 4);StopService('grande48');SetServiceStart('msupdate', 4);StopService('msupdate');QuarantineFile('C:\WINDOWS\system32\mswapi.dll','');QuarantineFile('c:\windows\system32\mswapi.dll','');QuarantineFile('msnmanegers.exe','');QuarantineFile('mswshl.dll','');QuarantineFile('C:\WINDOWS\System32\Oxigen.SCR','');QuarantineFile('C:\WINDOWS\system32\drivers\grande48.sys','');QuarantineFile('WLCtrl32.dll','');QuarantineFile('C:\WINDOWS\System32\rpcc.dll','');QuarantineFile('C:\WINDOWS\System32\ntos.exe','');QuarantineFile('C:\WINDOWS\System32\mmdmm.exe','');QuarantineFile('C:\WINDOWS\system32\srvany.exe','');QuarantineFile('c:\windows\system32\..\svchost.exe','');QuarantineFile('C:\WINDOWS\System32\klogon.dll','');DeleteFile('c:\windows\system32\..\svchost.exe');DeleteFile('C:\WINDOWS\System32\mmdmm.exe');DeleteFile('C:\WINDOWS\System32\ntos.exe');DeleteFile('C:\WINDOWS\System32\rpcc.dll');DeleteFile('WLCtrl32.dll');DeleteFile('C:\WINDOWS\system32\drivers\grande48.sys');DeleteFile('mswshl.dll');DeleteFile('msnmanegers.exe');DeleteFile('c:\windows\system32\mswapi.dll');DeleteFile('C:\WINDOWS\system32\mswapi.dll');DeleteService('grande48');DeleteService('msupdate');BC_ImportALL;ExecuteRepair(6);ExecuteRepair(8);BC_Activate;ExecuteSysClean;RebootWindows(true);end. После выполнения скрипта компьютер перезагрузится. beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end. Полученный архив отправьте на 6501<at>rambler.ru с указанной ссылкой на тему. Пофиксить в HijackThis следующие строчки O20 - Winlogon Notify: WLCtrl32 - WLCtrl32.dll (file missing)O20 - Winlogon Notify: rpcc - C:\WINDOWS\System32\rpcc.dll (file missing) O20 - Winlogon Notify: reset6 - mswshl.dll (file missing)O2 - BHO: (no name) - {e3a729da-eabc-df50-1842-dfd682644311} - C:\WINDOWS\System32\mswapi.dllF2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,C:\WINDOWS\System32\ntos.exe, Удивлен, что у Вас так мало зловредов прицепилось Platform: Windows XP SP1 (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Это несерьезно! Установите SP2+IE7+все хотфиксы Повторите логи. Quote Link to comment Share on other sites More sharing options...
Hidalgo Posted April 13, 2008 Author Report Share Posted April 13, 2008 6501<at>rambler.ru а что эт за адрес? Quote Link to comment Share on other sites More sharing options...
Hidalgo Posted April 13, 2008 Author Report Share Posted April 13, 2008 akoK Спасибо, но помогло не особо, тут же нашёл этот fixweb.exe(((( Quote Link to comment Share on other sites More sharing options...
akoK Posted April 13, 2008 Report Share Posted April 13, 2008 <at>-@ (маскировка от спам-ботов) А вы думали все одной ходкой решить? У Вас неплохой руткин на борту....и ворпос удалось ли снести с одного подхода не стоит. Повторите логи будем чистить, что выжило. Да еще одно, антивирус на момент выполнения скриптов, должен быть отключен...иначе он выступает защитой зловреда. Quote Link to comment Share on other sites More sharing options...
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.