doublew Опубликовано 22 августа, 2008 Жалоба Поделиться Опубликовано 22 августа, 2008 Постоянно нортоном блокируются кикие то исходящие письма, переодически некоторые файлы перемещаются в карантин Вот логи hijackthis.log virusinfo_syscheck.zip virusinfo_syscure.zip hijackthis.log virusinfo_syscheck.zip virusinfo_syscure.zip Ссылка на комментарий Поделиться на другие сайты Поделиться
ТроПа Опубликовано 22 августа, 2008 Жалоба Поделиться Опубликовано 22 августа, 2008 1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". beginSearchRootkit(true, true);SetAVZGuardStatus(True);ClearQuarantine;QuarantineFile('C:\WINDOWS\System32\Drivers\Winrw61.sys','');QuarantineFile('C:\WINDOWS\System32\Drivers\Windi38.sys','');QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll','');DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');DeleteFile('C:\WINDOWS\System32\Drivers\Windi38.sys');DeleteFile('C:\WINDOWS\System32\Drivers\Winrw61.sys');DeleteService('Dhcpupnphost');DeleteService('FastUserSwitchingCompatibilityxmlprov');DeleteService('CiSvc LM Service');DeleteService('aspnet_stateWmiNtmsSvc');DeleteService('aspnet_stateBrowser');DeleteService('aspnet_stateAudioSrv');DeleteService('AppMgmthelpsvc');DeleteService('ALG LM Service');DeleteService('AlerterDhcp');BC_ImportAll;BC_DeleteSvc('Winrw61');BC_DeleteSvc('Windi38');ExecuteSysClean;BC_Activate;RebootWindows(true);end. После выполнения скрипта компьютер перезагрузится. AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end. Прислать карантин (файл quarantine.zip из папки AVZ) на адрес 54712<at>rambler.ru где <at> - это @. Повторите логи. Ссылка на комментарий Поделиться на другие сайты Поделиться
doublew Опубликовано 22 августа, 2008 Автор Жалоба Поделиться Опубликовано 22 августа, 2008 спасибо Ссылка на комментарий Поделиться на другие сайты Поделиться
akoK Опубликовано 22 августа, 2008 Жалоба Поделиться Опубликовано 22 августа, 2008 Логи повторите....для контроля чистоты :) Ссылка на комментарий Поделиться на другие сайты Поделиться
doublew Опубликовано 3 сентября, 2008 Автор Жалоба Поделиться Опубликовано 3 сентября, 2008 Вовремя не повторил, опять беда.... :) Не работают св-ва экрана, заставка на рабочем столе... virusinfo_syscheck.zip hijackthis.log virusinfo_syscure.zip virusinfo_syscheck.zip hijackthis.log virusinfo_syscure.zip Ссылка на комментарий Поделиться на другие сайты Поделиться
ser208 Опубликовано 3 сентября, 2008 Жалоба Поделиться Опубликовано 3 сентября, 2008 (изменено) Скачай IceSword Слева внизу найди меню File, в нем найди следующие файлы и удали по правой кнопке Force Delete. C:\WINDOWS\System32\Drivers\Winhm16.sysC:\WINDOWS\System32\Drivers\Winej04.sysC:\WINDOWS\System32\Drivers\Winpt50.sysC:\WINDOWS\System32\Drivers\Winuy48.sysC:\WINDOWS\System32\Drivers\Winye48.sys В AVZ меню Файл--Выполнить скрипт. Скопируй код и нажми "Запустить". beginSetAVZGuardStatus(True);SearchRootkit(true, true);QuarantineFile('logon.scr','');QuarantineFile('C:\WINDOWS\system32\blphcv3rj0er17.scr','');QuarantineFile('c:\windows\system32\lphcv3rj0er17.exe','');SetServiceStart('Winpt50', 4);SetServiceStart('Winuy48', 4);SetServiceStart('Winye48', 4);SetServiceStart('Winhm16', 4);SetServiceStart('Winej04', 4);SetServiceStart('gdrv', 4);SetServiceStart('WebClient LM Service', 4);SetServiceStart('WmiNtmsSvc', 4);SetServiceStart('WmiRasAuto', 4);SetServiceStart('WmiSharedAccess', 4);SetServiceStart('wscsvcAlerter', 4);SetServiceStart('TrkWksPlugPlayAudioSrv', 4);SetServiceStart('TrkWksPlugPlay', 4);SetServiceStart('ThemesHTTPFilter', 4);SetServiceStart('SysmonLogSSDPSRV', 4);SetServiceStart('stisvcSamSs', 4);SetServiceStart('ScheduleRSVP', 4);SetServiceStart('ScheduleRDSessMgr', 4);SetServiceStart('RasManBrowser', 4);SetServiceStart('RasAutoNtLmSsp', 4);SetServiceStart('NetmanWmiNtmsSvc', 4);SetServiceStart('NetlogonClipSrv', 4);SetServiceStart('NetDDEdsdmdmadmin', 4);SetServiceStart('NBServiceDcomLaunch', 4);SetServiceStart('FastUserSwitchingCompatibilityxmlprov', 4);SetServiceStart('Dhcpupnphost', 4);SetServiceStart('CiSvc LM Service', 4);SetServiceStart('aspnet_stateWmiNtmsSvc', 4);SetServiceStart('aspnet_stateAudioSrv', 4);SetServiceStart('AppMgmthelpsvc', 4);SetServiceStart('ALG LM Service', 4);SetServiceStart('AlerterDhcp', 4);DeleteService('Winpt50');DeleteService('Winye48');DeleteService('Winhm16');DeleteService('Winej04');DeleteService('gdrv');DeleteService('wscsvcAlerter');DeleteService('WmiSharedAccess');DeleteService('WmiRasAuto');DeleteService('WmiNtmsSvc');DeleteService('WebClient LM Service');DeleteService('TrkWksPlugPlayAudioSrv');DeleteService('TrkWksPlugPlay');DeleteService('ThemesHTTPFilter');DeleteService('SysmonLogSSDPSRV');DeleteService('stisvcSamSs');DeleteService('ScheduleRSVP');DeleteService('ScheduleRDSessMgr');DeleteService('RasManBrowser');DeleteService('RasAutoNtLmSsp');DeleteService('NetmanWmiNtmsSvc');DeleteService('NetlogonClipSrv');DeleteService('NetDDEdsdmdmadmin');DeleteService('NBServiceDcomLaunch');DeleteService('FastUserSwitchingCompatibilityxmlprov');DeleteService('Dhcpupnphost');DeleteService('CiSvc LM Service');DeleteService('aspnet_stateWmiNtmsSvc');DeleteService('aspnet_stateAudioSrv');DeleteService('AppMgmthelpsvc');DeleteService('ALG LM Service');DeleteService('AlerterDhcp');DeleteService('Winuy48');TerminateProcessByName('c:\windows\system32\lphcv3rj0er17.exe');DeleteFile('c:\windows\system32\lphcv3rj0er17.exe');DeleteFile('C:\WINDOWS\gdrv.sys');DeleteFile('C:\WINDOWS\System32\Drivers\Winhm16.sys');DeleteFile('C:\WINDOWS\System32\Drivers\Winej04.sys');DeleteFile('C:\WINDOWS\System32\Drivers\Winpt50.sys');DeleteFile('C:\WINDOWS\System32\Drivers\Winuy48.sys');DeleteFile('C:\WINDOWS\System32\Drivers\Winye48.sys');DeleteFile('C:\WINDOWS\system32\blphcv3rj0er17.scr');BC_ImportAll;ExecuteSysClean;ExecuteRepair(5);ExecuteRepair(6);ExecuteRepair(10);BC_Activate;RebootWindows(true);end. Компьютер перезагрузится. После перезрузки выполни еще скрипт. beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end. И вышли получившийся карантин мне в PM. В HijackThis отметь строки и нажми fix checked. O2 - BHO: btorbit.com - {000123B4-9B42-4900-B3F7-F4B073EFC214} - C:\Program Files\Orbitdownloader\orbitcth.dll (file missing)O2 - BHO: ConnectionServices module - {6D7B211A-88EA-490c-BAB9-3600D8D7C503} - C:\Program Files\ConnectionServices\ConnectionServices.dll (file missing)O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\ Сделай логи повторно на этот раз без проволочки :) Скорее всего службы нужно будет удалить дополнительно. Изменено 3 сентября, 2008 пользователем ser208 Ссылка на комментарий Поделиться на другие сайты Поделиться
doublew Опубликовано 5 сентября, 2008 Автор Жалоба Поделиться Опубликовано 5 сентября, 2008 Вроде всё... virusinfo_syscheck.zip virusinfo_syscure.zip hijackthis.log virusinfo_syscheck.zip virusinfo_syscure.zip hijackthis.log Ссылка на комментарий Поделиться на другие сайты Поделиться
ser208 Опубликовано 5 сентября, 2008 Жалоба Поделиться Опубликовано 5 сентября, 2008 (изменено) Ну да, вроде все.. virus.zip из сообщения убери. Изменено 5 сентября, 2008 пользователем ser208 Ссылка на комментарий Поделиться на другие сайты Поделиться
doublew Опубликовано 5 сентября, 2008 Автор Жалоба Поделиться Опубликовано 5 сентября, 2008 Спасибо! Ссылка на комментарий Поделиться на другие сайты Поделиться
Рекомендуемые сообщения
Для публикации сообщений создайте учётную запись или авторизуйтесь
Вы должны быть пользователем, чтобы оставить комментарий
Создать учетную запись
Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!
Регистрация нового пользователяВойти
Уже есть аккаунт? Войти в систему.
Войти