09.05.2010, 17:36 | #1 (ссылка) |
Новичок
Регистрация: 09.05.2010
Сообщений: 10
Репутация: 1
|
Заражен C:/Windows/System32/6to4v32.dll
http://exfile.ru/99375
Malwarebytes обнаружил зараженный файл C:/windows/system32/6to4v32.dll Проверила файл в интернете,показал заражение 21/41,но сайт временно не работает,ссылку показать не могу,скорее всего это вирус,что мне с ним делать?Буду благодарна за помощь! |
09.05.2010, 18:22 | #6 (ссылка) |
Заблокирован
Стажёр
Регистрация: 25.02.2010
Сообщений: 906
Репутация: 79
|
Выполните скрипт в авз:
Код:
begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\System32\wscript.exe',''); QuarantineFile('C:\WINDOWS\system32\ssmyst.scr',''); QuarantineFile('C:\WINDOWS\System32\smlogsvc.exe',''); QuarantineFile('C:\WINDOWS\System32\cscript.exe',''); QuarantineFile('C:\WINDOWS\System32\dmadmin.exe',''); QuarantineFile('C:\WINDOWS\system32\dllhost.exe',''); QuarantineFile('C:\Documents and Settings\Admin\Рабочий стол\6to4v32.dll',''); QuarantineFile('C:\WINDOWS\inf\unregmp2.exe',''); QuarantineFile('C:\WINDOWS\system32\regedit.exe',''); QuarantineFile('C:\WINDOWS\system32\anpla.dll',''); QuarantineFile('c:\windows\system32\6to4v32.dll',''); QuarantineFile('C:\WINDOWS\fonts\services.exe',''); QuarantineFile('C:\WINDOWS\System32\wudfhost.exe',''); QuarantineFile('C:\WINDOWS\System32\userinit.exe',''); QuarantineFile('C:\Documents and Settings\Admin\Local Settings\Temp\NEventMessages.dll',''); QuarantineFile('C:\WINDOWS\system32\diskchk.sys',''); DeleteFile('C:\WINDOWS\system32\diskchk.sys'); DeleteFile('C:\WINDOWS\fonts\services.exe'); DeleteFile('C:\WINDOWS\system32\6to4v32.dll'); DeleteFile('c:\windows\system32\6to4v32.dll'); DeleteFile('C:\WINDOWS\system32\anpla.dll'); DeleteFile('C:\WINDOWS\system32\regedit.exe'); DeleteFile('C:\Documents and Settings\Admin\Рабочий стол\6to4v32.dll'); RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','Regedit32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\6to4\Parameters','ServiceDll'); RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','Regedit32'); DeleteService('diskchk'); BC_ImportAll; ExecuteSysClean; BC_Activate; ExecuteRepair(6); ExecuteRepair(8); RebootWindows(true); end. Выполнить скрипт в AVZ. Код:
var qfolder: string; qname: string; begin qname := GetAVZDirectory + '..\Quarantine\quarantine.zip'; qfolder := ExtractFilePath(qname); if (not DirectoryExists(qfolder)) then CreateDirectory(qfolder); CreateQurantineArchive(qname); ExecuteFile('explorer.exe', qfolder, 1, 0, false); end. Сделайте новые лог авз.Выполните в авз стандартный скрипт№2 и пришлите virusinfo_syscheck.zip(через файлообменник). Скачайте RSIT . Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению(через файлообменник). Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска. snifer67, http://www.securelist.com/ru/viruses...rusid=21792821 http://pchelpforum.ru/f26/t24207/ Вот так скрипты выполнять. Последний раз редактировалось help?; 09.05.2010 в 18:38. |
09.05.2010, 18:53 | #7 (ссылка) |
Новичок
Регистрация: 09.05.2010
Сообщений: 10
Репутация: 1
|
http://exfile.ru/99381
http://exfile.ru/99382 ---------- Добавлено в 17:53 ---------- Предыдущее сообщение было написано в 17:47 ---------- при попытке проверки файлов за последние 3 мес RSIT выдает ошибку.Error:Variavle used without being declared! |
09.05.2010, 18:55 | #8 (ссылка) |
Заблокирован
Стажёр
Регистрация: 25.02.2010
Сообщений: 906
Репутация: 79
|
Сделайте хотя бы лог ХайДжека:
Скачайте утилиту hijackthis http://www.trendsecure.com/portal/en...kthis/download или отсюда http://exfile.ru/91916 Если не устанавливается hijackthis, скачайте портабельную версию (не требующую установки) отсюда http://exfile.ru/96392 установите эту программу на диске (отметив I Accept в пользовательском соглашении). Запуск программы в Windows Vista должен производится через контекстное меню "Запустить от имени Администратора"!!!!! Выберите в ней "Do a system scan and save a logfile" по окончании сканирования появится текстовый файл hijackthis.log Этот файл разместите на любом файлообменнике (например http://exfile.ru , http://webfile.ru/ или другой) (указав на форуме в своей теме ссылку на этот файл) После анализа лога вам предложат прозвести удаление проблемных записей, выявленых программой. Для этого запустите повторно программу и выберите кнопку "Do a system scan only". В открывшейся таблице с результатами необходимо будет отметить только те строки которые укажут вам!!!! и затем нажмите Fix Checked. МБАМ больше не находит вирусов?Кстати его новый лог тоже не мешало бы прикрепить. |
Ads | |
09.05.2010, 19:04 | #10 (ссылка) |
Заблокирован
Стажёр
Регистрация: 25.02.2010
Сообщений: 906
Репутация: 79
|
Пофиксите в хайджеке:
Код:
F2 - REG:system.ini: UserInit=userinit.exe, O20 - AppInit_DLLs: 0 O24 - Desktop Component 0: (no name) - file:///C:/DOCUME~1/Admin/LOCALS~1/Temp/msohtml1/01/clip_image002.jpg Код:
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр) >> Службы: разрешена потенциально опасная служба TermService (Службы терминалов) >> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP) >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий) >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing) >> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола) > Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)! >> Безопасность: разрешен автозапуск программ с CDROM >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...) >> Безопасность: к ПК разрешен доступ анонимного пользователя >> Безопасность: Разрешена отправка приглашений удаленному помошнику >> Разрешен автозапуск с HDD >> Разрешен автозапуск с сетевых дисков >> Разрешен автозапуск со сменных носителей 127.0.0.1 jL.chura.pl Сами делали запись в HOSTS? |
09.05.2010, 19:09 | #11 (ссылка) |
Стажёр
Регистрация: 11.04.2010
Сообщений: 977
Репутация: 96
|
Выполните скрипт в avz
Код:
begin DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true); SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\userinit.exe',''); DeleteFile('C:\Documents and Settings\Admin\Шаблоны\6084-NendangBro.com'); DeleteFileMask('C:\WINDOWS\Tasks','At*.job', false); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end. Выполнить скрипт в AVZ. Код:
var qfolder: string; qname: string; begin qname := GetAVZDirectory + '..\Quarantine\quarantine.zip'; qfolder := ExtractFilePath(qname); if (not DirectoryExists(qfolder)) then CreateDirectory(qfolder); CreateQurantineArchive(qname); ExecuteFile('explorer.exe', qfolder, 1, 0, false); end. Карантин отправьте на newvirus@tut.by (размер карантина должен быть больше 5кб) Сделайте новые логи. |
09.05.2010, 19:31 | #13 (ссылка) |
Новичок
Регистрация: 09.05.2010
Сообщений: 10
Репутация: 1
|
лог MBAM http://exfile.ru/99387
---------- Добавлено в 18:21 ---------- Предыдущее сообщение было написано в 18:20 ---------- я не делала запись в HOSTS ---------- Добавлено в 18:31 ---------- Предыдущее сообщение было написано в 18:21 ---------- повторный лог хайджека http://exfile.ru/99390 Что из этого НЕ надо?-??? |
09.05.2010, 19:33 | #15 (ссылка) |
Новичок
Регистрация: 09.05.2010
Сообщений: 10
Репутация: 1
|
лог MBAM http://exfile.ru/99387
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1) | |
Опции темы | |
|
|
Похожие темы | ||||
Тема | Автор | Раздел | Ответов | Последнее сообщение |
Рабочий комп заражен | макгрегор | Безопасность | 14 | 20.11.2010 17:25 |
/WINDOWS/SYSTEM32/CONFIG/SYSTEM | Илья Воротнёв | Windows XP | 11 | 09.11.2010 13:13 |
приложение или библиотека С:\WINDOWS\System32\BROWSEUI.dll не является образом... | Tekramrepus | Безопасность | 0 | 05.11.2010 04:24 |
Не найден файл сценария C:\windows\system32\open.vbs | klinok | Безопасность | 11 | 21.10.2010 15:49 |
c:\WINDOWS\system32\drivers\etc\hosts | zhitomir | Windows XP | 18 | 13.10.2010 22:45 |
Помогите!!! windows system32 config system отсутствует | excellent | Windows XP | 20 | 09.07.2010 22:28 |
Заражен непонятным вирусом | adolf_ghost | Безопасность | 8 | 02.07.2010 14:04 |
комп ищет и не находит windows\system32\zsdceiw.exe | dvbelyanin | Windows XP | 1 | 01.07.2010 12:21 |
Помогите "после проверки AVZ выдает-D:\WINDOWS\system32\cmdow.exe" | эрик | Безопасность | 10 | 26.06.2010 00:16 |
Компьютер заражен вирусами | Намар | Безопасность | 2 | 05.01.2010 17:20 |
C: windows\system32\cdclose.dll вирус удален | nurasyl | Безопасность | 5 | 06.11.2009 18:38 |
Комп заражен Win32.Virut30 | Андрюха | Безопасность | 14 | 25.02.2009 20:59 |