Jump to content
СофтФорум - всё о компьютерах и не только

Помогите пожалуйста!


Recommended Posts

Всем привет!

Пожалуйста, помогите мне:

в windows/system32 периодически появляются windowsupdate.exe, fixweb.exe которые Каспер распознает как вирусы, удаляет их, но они снова появляются там(даже при выключенном инете)!!!! (К тому же они постоянно сидят в автозагрузке, их отключение не сильно помогает)

Полная проверка компа, переустановка винды не помогли!

Что делать?

Link to comment
Share on other sites

Ещё не сказал, что комп переодически зависает(периоды очень частые) и иногда сам перезагружается...

Как только файлы обьявятся вновь, прилеплю скрины

Скриншот.JPGФаил, который Каспер видит, но удалить не может.

"По месту жительства" файла нету...

post-66483-1208065027_thumb.jpg

Link to comment
Share on other sites

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

beginSearchRootkit(true, true);SetAVZGuardStatus(true);ClearQuarantine;RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);SetServiceStart('grande48', 4);StopService('grande48');SetServiceStart('msupdate', 4);StopService('msupdate');QuarantineFile('C:\WINDOWS\system32\mswapi.dll','');QuarantineFile('c:\windows\system32\mswapi.dll','');QuarantineFile('msnmanegers.exe','');QuarantineFile('mswshl.dll','');QuarantineFile('C:\WINDOWS\System32\Oxigen.SCR','');QuarantineFile('C:\WINDOWS\system32\drivers\grande48.sys','');QuarantineFile('WLCtrl32.dll','');QuarantineFile('C:\WINDOWS\System32\rpcc.dll','');QuarantineFile('C:\WINDOWS\System32\ntos.exe','');QuarantineFile('C:\WINDOWS\System32\mmdmm.exe','');QuarantineFile('C:\WINDOWS\system32\srvany.exe','');QuarantineFile('c:\windows\system32\..\svchost.exe','');QuarantineFile('C:\WINDOWS\System32\klogon.dll','');DeleteFile('c:\windows\system32\..\svchost.exe');DeleteFile('C:\WINDOWS\System32\mmdmm.exe');DeleteFile('C:\WINDOWS\System32\ntos.exe');DeleteFile('C:\WINDOWS\System32\rpcc.dll');DeleteFile('WLCtrl32.dll');DeleteFile('C:\WINDOWS\system32\drivers\grande48.sys');DeleteFile('mswshl.dll');DeleteFile('msnmanegers.exe');DeleteFile('c:\windows\system32\mswapi.dll');DeleteFile('C:\WINDOWS\system32\mswapi.dll');DeleteService('grande48');DeleteService('msupdate');BC_ImportALL;ExecuteRepair(6);ExecuteRepair(8);BC_Activate;ExecuteSysClean;RebootWindows(true);end.

После выполнения скрипта компьютер перезагрузится.

beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end.

Полученный архив отправьте на 6501<at>rambler.ru с указанной ссылкой на тему.

Пофиксить в HijackThis следующие строчки

 O20 - Winlogon Notify: WLCtrl32 - WLCtrl32.dll (file missing)O20 - Winlogon Notify: rpcc - C:\WINDOWS\System32\rpcc.dll (file missing)	O20 - Winlogon Notify: reset6 - mswshl.dll (file missing)O2 - BHO: (no name) - {e3a729da-eabc-df50-1842-dfd682644311} - C:\WINDOWS\System32\mswapi.dllF2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,C:\WINDOWS\System32\ntos.exe,

Удивлен, что у Вас так мало зловредов прицепилось

Platform: Windows XP SP1 (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Это несерьезно! Установите SP2+IE7+все хотфиксы

Повторите логи.

Link to comment
Share on other sites

<at>-@ (маскировка от спам-ботов)

А вы думали все одной ходкой решить? У Вас неплохой руткин на борту....и ворпос удалось ли снести с одного подхода не стоит.

Повторите логи будем чистить, что выжило.

Да еще одно, антивирус на момент выполнения скриптов, должен быть отключен...иначе он выступает защитой зловреда.

Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

 Share

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...