doublew Опубликовано 22 августа, 2008 Жалоба Поделиться Опубликовано 22 августа, 2008 Постоянно нортоном блокируются кикие то исходящие письма, переодически некоторые файлы перемещаются в карантин Вот логи hijackthis.log virusinfo_syscheck.zip virusinfo_syscure.zip hijackthis.log virusinfo_syscheck.zip virusinfo_syscure.zip Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
ТроПа Опубликовано 22 августа, 2008 Жалоба Поделиться Опубликовано 22 августа, 2008 1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". beginSearchRootkit(true, true);SetAVZGuardStatus(True);ClearQuarantine;QuarantineFile('C:\WINDOWS\System32\Drivers\Winrw61.sys','');QuarantineFile('C:\WINDOWS\System32\Drivers\Windi38.sys','');QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll','');DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');DeleteFile('C:\WINDOWS\System32\Drivers\Windi38.sys');DeleteFile('C:\WINDOWS\System32\Drivers\Winrw61.sys');DeleteService('Dhcpupnphost');DeleteService('FastUserSwitchingCompatibilityxmlprov');DeleteService('CiSvc LM Service');DeleteService('aspnet_stateWmiNtmsSvc');DeleteService('aspnet_stateBrowser');DeleteService('aspnet_stateAudioSrv');DeleteService('AppMgmthelpsvc');DeleteService('ALG LM Service');DeleteService('AlerterDhcp');BC_ImportAll;BC_DeleteSvc('Winrw61');BC_DeleteSvc('Windi38');ExecuteSysClean;BC_Activate;RebootWindows(true);end. После выполнения скрипта компьютер перезагрузится. AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end. Прислать карантин (файл quarantine.zip из папки AVZ) на адрес 54712<at>rambler.ru где <at> - это @. Повторите логи. Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
doublew Опубликовано 22 августа, 2008 Автор Жалоба Поделиться Опубликовано 22 августа, 2008 спасибо Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
akoK Опубликовано 22 августа, 2008 Жалоба Поделиться Опубликовано 22 августа, 2008 Логи повторите....для контроля чистоты :) Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
doublew Опубликовано 3 сентября, 2008 Автор Жалоба Поделиться Опубликовано 3 сентября, 2008 Вовремя не повторил, опять беда.... :) Не работают св-ва экрана, заставка на рабочем столе... virusinfo_syscheck.zip hijackthis.log virusinfo_syscure.zip virusinfo_syscheck.zip hijackthis.log virusinfo_syscure.zip Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
ser208 Опубликовано 3 сентября, 2008 Жалоба Поделиться Опубликовано 3 сентября, 2008 (изменено) Скачай IceSword Слева внизу найди меню File, в нем найди следующие файлы и удали по правой кнопке Force Delete. C:\WINDOWS\System32\Drivers\Winhm16.sysC:\WINDOWS\System32\Drivers\Winej04.sysC:\WINDOWS\System32\Drivers\Winpt50.sysC:\WINDOWS\System32\Drivers\Winuy48.sysC:\WINDOWS\System32\Drivers\Winye48.sys В AVZ меню Файл--Выполнить скрипт. Скопируй код и нажми "Запустить". beginSetAVZGuardStatus(True);SearchRootkit(true, true);QuarantineFile('logon.scr','');QuarantineFile('C:\WINDOWS\system32\blphcv3rj0er17.scr','');QuarantineFile('c:\windows\system32\lphcv3rj0er17.exe','');SetServiceStart('Winpt50', 4);SetServiceStart('Winuy48', 4);SetServiceStart('Winye48', 4);SetServiceStart('Winhm16', 4);SetServiceStart('Winej04', 4);SetServiceStart('gdrv', 4);SetServiceStart('WebClient LM Service', 4);SetServiceStart('WmiNtmsSvc', 4);SetServiceStart('WmiRasAuto', 4);SetServiceStart('WmiSharedAccess', 4);SetServiceStart('wscsvcAlerter', 4);SetServiceStart('TrkWksPlugPlayAudioSrv', 4);SetServiceStart('TrkWksPlugPlay', 4);SetServiceStart('ThemesHTTPFilter', 4);SetServiceStart('SysmonLogSSDPSRV', 4);SetServiceStart('stisvcSamSs', 4);SetServiceStart('ScheduleRSVP', 4);SetServiceStart('ScheduleRDSessMgr', 4);SetServiceStart('RasManBrowser', 4);SetServiceStart('RasAutoNtLmSsp', 4);SetServiceStart('NetmanWmiNtmsSvc', 4);SetServiceStart('NetlogonClipSrv', 4);SetServiceStart('NetDDEdsdmdmadmin', 4);SetServiceStart('NBServiceDcomLaunch', 4);SetServiceStart('FastUserSwitchingCompatibilityxmlprov', 4);SetServiceStart('Dhcpupnphost', 4);SetServiceStart('CiSvc LM Service', 4);SetServiceStart('aspnet_stateWmiNtmsSvc', 4);SetServiceStart('aspnet_stateAudioSrv', 4);SetServiceStart('AppMgmthelpsvc', 4);SetServiceStart('ALG LM Service', 4);SetServiceStart('AlerterDhcp', 4);DeleteService('Winpt50');DeleteService('Winye48');DeleteService('Winhm16');DeleteService('Winej04');DeleteService('gdrv');DeleteService('wscsvcAlerter');DeleteService('WmiSharedAccess');DeleteService('WmiRasAuto');DeleteService('WmiNtmsSvc');DeleteService('WebClient LM Service');DeleteService('TrkWksPlugPlayAudioSrv');DeleteService('TrkWksPlugPlay');DeleteService('ThemesHTTPFilter');DeleteService('SysmonLogSSDPSRV');DeleteService('stisvcSamSs');DeleteService('ScheduleRSVP');DeleteService('ScheduleRDSessMgr');DeleteService('RasManBrowser');DeleteService('RasAutoNtLmSsp');DeleteService('NetmanWmiNtmsSvc');DeleteService('NetlogonClipSrv');DeleteService('NetDDEdsdmdmadmin');DeleteService('NBServiceDcomLaunch');DeleteService('FastUserSwitchingCompatibilityxmlprov');DeleteService('Dhcpupnphost');DeleteService('CiSvc LM Service');DeleteService('aspnet_stateWmiNtmsSvc');DeleteService('aspnet_stateAudioSrv');DeleteService('AppMgmthelpsvc');DeleteService('ALG LM Service');DeleteService('AlerterDhcp');DeleteService('Winuy48');TerminateProcessByName('c:\windows\system32\lphcv3rj0er17.exe');DeleteFile('c:\windows\system32\lphcv3rj0er17.exe');DeleteFile('C:\WINDOWS\gdrv.sys');DeleteFile('C:\WINDOWS\System32\Drivers\Winhm16.sys');DeleteFile('C:\WINDOWS\System32\Drivers\Winej04.sys');DeleteFile('C:\WINDOWS\System32\Drivers\Winpt50.sys');DeleteFile('C:\WINDOWS\System32\Drivers\Winuy48.sys');DeleteFile('C:\WINDOWS\System32\Drivers\Winye48.sys');DeleteFile('C:\WINDOWS\system32\blphcv3rj0er17.scr');BC_ImportAll;ExecuteSysClean;ExecuteRepair(5);ExecuteRepair(6);ExecuteRepair(10);BC_Activate;RebootWindows(true);end. Компьютер перезагрузится. После перезрузки выполни еще скрипт. beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end. И вышли получившийся карантин мне в PM. В HijackThis отметь строки и нажми fix checked. O2 - BHO: btorbit.com - {000123B4-9B42-4900-B3F7-F4B073EFC214} - C:\Program Files\Orbitdownloader\orbitcth.dll (file missing)O2 - BHO: ConnectionServices module - {6D7B211A-88EA-490c-BAB9-3600D8D7C503} - C:\Program Files\ConnectionServices\ConnectionServices.dll (file missing)O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\ Сделай логи повторно на этот раз без проволочки :) Скорее всего службы нужно будет удалить дополнительно. Изменено 3 сентября, 2008 пользователем ser208 Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
doublew Опубликовано 5 сентября, 2008 Автор Жалоба Поделиться Опубликовано 5 сентября, 2008 Вроде всё... virusinfo_syscheck.zip virusinfo_syscure.zip hijackthis.log virusinfo_syscheck.zip virusinfo_syscure.zip hijackthis.log Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
ser208 Опубликовано 5 сентября, 2008 Жалоба Поделиться Опубликовано 5 сентября, 2008 (изменено) Ну да, вроде все.. virus.zip из сообщения убери. Изменено 5 сентября, 2008 пользователем ser208 Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
doublew Опубликовано 5 сентября, 2008 Автор Жалоба Поделиться Опубликовано 5 сентября, 2008 Спасибо! Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.