Hidalgo Опубликовано 13 апреля, 2008 Жалоба Поделиться Опубликовано 13 апреля, 2008 Всем привет! Пожалуйста, помогите мне: в windows/system32 периодически появляются windowsupdate.exe, fixweb.exe которые Каспер распознает как вирусы, удаляет их, но они снова появляются там(даже при выключенном инете)!!!! (К тому же они постоянно сидят в автозагрузке, их отключение не сильно помогает) Полная проверка компа, переустановка винды не помогли! Что делать? Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Hidalgo Опубликовано 13 апреля, 2008 Автор Жалоба Поделиться Опубликовано 13 апреля, 2008 Ещё не сказал, что комп переодически зависает(периоды очень частые) и иногда сам перезагружается... Как только файлы обьявятся вновь, прилеплю скрины Фаил, который Каспер видит, но удалить не может. "По месту жительства" файла нету... Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
ser208 Опубликовано 13 апреля, 2008 Жалоба Поделиться Опубликовано 13 апреля, 2008 Сделай логи, как в этом сообщении Pili Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Hidalgo Опубликовано 13 апреля, 2008 Автор Жалоба Поделиться Опубликовано 13 апреля, 2008 Вот логи... Cureit находил заражённый файл в автозагрузке, удалил его. virusinfo_syscheck.zip virusinfo_syscure.zip hijackthis.zip virusinfo_syscheck.zip virusinfo_syscure.zip hijackthis.zip Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
akoK Опубликовано 13 апреля, 2008 Жалоба Поделиться Опубликовано 13 апреля, 2008 AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". beginSearchRootkit(true, true);SetAVZGuardStatus(true);ClearQuarantine;RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);SetServiceStart('grande48', 4);StopService('grande48');SetServiceStart('msupdate', 4);StopService('msupdate');QuarantineFile('C:\WINDOWS\system32\mswapi.dll','');QuarantineFile('c:\windows\system32\mswapi.dll','');QuarantineFile('msnmanegers.exe','');QuarantineFile('mswshl.dll','');QuarantineFile('C:\WINDOWS\System32\Oxigen.SCR','');QuarantineFile('C:\WINDOWS\system32\drivers\grande48.sys','');QuarantineFile('WLCtrl32.dll','');QuarantineFile('C:\WINDOWS\System32\rpcc.dll','');QuarantineFile('C:\WINDOWS\System32\ntos.exe','');QuarantineFile('C:\WINDOWS\System32\mmdmm.exe','');QuarantineFile('C:\WINDOWS\system32\srvany.exe','');QuarantineFile('c:\windows\system32\..\svchost.exe','');QuarantineFile('C:\WINDOWS\System32\klogon.dll','');DeleteFile('c:\windows\system32\..\svchost.exe');DeleteFile('C:\WINDOWS\System32\mmdmm.exe');DeleteFile('C:\WINDOWS\System32\ntos.exe');DeleteFile('C:\WINDOWS\System32\rpcc.dll');DeleteFile('WLCtrl32.dll');DeleteFile('C:\WINDOWS\system32\drivers\grande48.sys');DeleteFile('mswshl.dll');DeleteFile('msnmanegers.exe');DeleteFile('c:\windows\system32\mswapi.dll');DeleteFile('C:\WINDOWS\system32\mswapi.dll');DeleteService('grande48');DeleteService('msupdate');BC_ImportALL;ExecuteRepair(6);ExecuteRepair(8);BC_Activate;ExecuteSysClean;RebootWindows(true);end. После выполнения скрипта компьютер перезагрузится. beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end. Полученный архив отправьте на 6501<at>rambler.ru с указанной ссылкой на тему. Пофиксить в HijackThis следующие строчки O20 - Winlogon Notify: WLCtrl32 - WLCtrl32.dll (file missing)O20 - Winlogon Notify: rpcc - C:\WINDOWS\System32\rpcc.dll (file missing) O20 - Winlogon Notify: reset6 - mswshl.dll (file missing)O2 - BHO: (no name) - {e3a729da-eabc-df50-1842-dfd682644311} - C:\WINDOWS\System32\mswapi.dllF2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,C:\WINDOWS\System32\ntos.exe, Удивлен, что у Вас так мало зловредов прицепилось Platform: Windows XP SP1 (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Это несерьезно! Установите SP2+IE7+все хотфиксы Повторите логи. Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Hidalgo Опубликовано 13 апреля, 2008 Автор Жалоба Поделиться Опубликовано 13 апреля, 2008 6501<at>rambler.ru а что эт за адрес? Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Hidalgo Опубликовано 13 апреля, 2008 Автор Жалоба Поделиться Опубликовано 13 апреля, 2008 akoK Спасибо, но помогло не особо, тут же нашёл этот fixweb.exe(((( Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
akoK Опубликовано 13 апреля, 2008 Жалоба Поделиться Опубликовано 13 апреля, 2008 <at>-@ (маскировка от спам-ботов) А вы думали все одной ходкой решить? У Вас неплохой руткин на борту....и ворпос удалось ли снести с одного подхода не стоит. Повторите логи будем чистить, что выжило. Да еще одно, антивирус на момент выполнения скриптов, должен быть отключен...иначе он выступает защитой зловреда. Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.