Вернуться   Компьютерный форум > Компьютеры > Программы > Безопасность
 
 
Опции темы
Старый 09.05.2010, 17:36   #1 (ссылка)
Новичок
 
Аватар для gestia-femida
 
Регистрация: 09.05.2010
Сообщений: 10
Репутация: 1
По умолчанию Заражен C:/Windows/System32/6to4v32.dll

http://exfile.ru/99375

Malwarebytes обнаружил зараженный файл C:/windows/system32/6to4v32.dll
Проверила файл в интернете,показал заражение 21/41,но сайт временно не работает,ссылку показать не могу,скорее всего это вирус,что мне с ним делать?Буду благодарна за помощь!
gestia-femida вне форума  
Старый 09.05.2010, 17:40   #2 (ссылка)
Заблокирован
Стажёр
 
Регистрация: 25.02.2010
Сообщений: 906
Репутация: 79
По умолчанию

Так,вирусы есть.Ждите скрипт.
help? вне форума  
Старый 09.05.2010, 17:43   #3 (ссылка)
Стажёр
 
Аватар для snifer67
 
Регистрация: 11.04.2010
Сообщений: 977
Репутация: 96
По умолчанию

Удаляйте мбам.Файл чистый.
snifer67 вне форума  
Старый 09.05.2010, 18:03   #4 (ссылка)
Заблокирован
Стажёр
 
Регистрация: 25.02.2010
Сообщений: 906
Репутация: 79
По умолчанию

C:\Documents and Settings\Admin\Рабочий стол\6to4v32.dll
Врятли чистый.
gestia-femida, он вам вообще известен?Скрипт почти готов.
help? вне форума  
Старый 09.05.2010, 18:06   #5 (ссылка)
Новичок
 
Аватар для gestia-femida
 
Регистрация: 09.05.2010
Сообщений: 10
Репутация: 1
По умолчанию

нет,он мне неизвестен
gestia-femida вне форума  
Старый 09.05.2010, 18:22   #6 (ссылка)
Заблокирован
Стажёр
 
Регистрация: 25.02.2010
Сообщений: 906
Репутация: 79
По умолчанию

Выполните скрипт в авз:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\System32\wscript.exe','');
 QuarantineFile('C:\WINDOWS\system32\ssmyst.scr','');
 QuarantineFile('C:\WINDOWS\System32\smlogsvc.exe','');
 QuarantineFile('C:\WINDOWS\System32\cscript.exe','');
 QuarantineFile('C:\WINDOWS\System32\dmadmin.exe','');
 QuarantineFile('C:\WINDOWS\system32\dllhost.exe','');
 QuarantineFile('C:\Documents and Settings\Admin\Рабочий стол\6to4v32.dll','');
 QuarantineFile('C:\WINDOWS\inf\unregmp2.exe','');
 QuarantineFile('C:\WINDOWS\system32\regedit.exe','');
 QuarantineFile('C:\WINDOWS\system32\anpla.dll','');
 QuarantineFile('c:\windows\system32\6to4v32.dll','');
 QuarantineFile('C:\WINDOWS\fonts\services.exe','');
 QuarantineFile('C:\WINDOWS\System32\wudfhost.exe','');
 QuarantineFile('C:\WINDOWS\System32\userinit.exe','');
 QuarantineFile('C:\Documents and Settings\Admin\Local Settings\Temp\NEventMessages.dll','');
 QuarantineFile('C:\WINDOWS\system32\diskchk.sys','');
 DeleteFile('C:\WINDOWS\system32\diskchk.sys');
 DeleteFile('C:\WINDOWS\fonts\services.exe');
 DeleteFile('C:\WINDOWS\system32\6to4v32.dll');
 DeleteFile('c:\windows\system32\6to4v32.dll');
 DeleteFile('C:\WINDOWS\system32\anpla.dll');
 DeleteFile('C:\WINDOWS\system32\regedit.exe');
 DeleteFile('C:\Documents and Settings\Admin\Рабочий стол\6to4v32.dll');
 RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','Regedit32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\6to4\Parameters','ServiceDll');
 RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','Regedit32');
 DeleteService('diskchk');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(6);
ExecuteRepair(8);
RebootWindows(true);
end.
ПК перезагрузится.

Выполнить скрипт в AVZ.
Код:
var
  qfolder: string;
  qname: string;
begin
  qname := GetAVZDirectory + '..\Quarantine\quarantine.zip';
  qfolder := ExtractFilePath(qname);
  if (not DirectoryExists(qfolder)) then CreateDirectory(qfolder);
  CreateQurantineArchive(qname);
  ExecuteFile('explorer.exe', qfolder, 1, 0, false);
end.
Вы увидите папку с архивом. Это - карантин.Его закачать на www.exfile.ru и дать ссылку.
Сделайте новые лог авз.Выполните в авз стандартный скрипт№2 и пришлите virusinfo_syscheck.zip(через файлообменник).
Скачайте RSIT . Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению(через файлообменник). Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

snifer67,
http://www.securelist.com/ru/viruses...rusid=21792821


http://pchelpforum.ru/f26/t24207/
Вот так скрипты выполнять.

Последний раз редактировалось help?; 09.05.2010 в 18:38.
help? вне форума  
Старый 09.05.2010, 18:53   #7 (ссылка)
Новичок
 
Аватар для gestia-femida
 
Регистрация: 09.05.2010
Сообщений: 10
Репутация: 1
По умолчанию

http://exfile.ru/99381

http://exfile.ru/99382

---------- Добавлено в 17:53 ---------- Предыдущее сообщение было написано в 17:47 ----------

при попытке проверки файлов за последние 3 мес RSIT выдает ошибку.Error:Variavle used without being declared!
gestia-femida вне форума  
Старый 09.05.2010, 18:55   #8 (ссылка)
Заблокирован
Стажёр
 
Регистрация: 25.02.2010
Сообщений: 906
Репутация: 79
По умолчанию

Сделайте хотя бы лог ХайДжека:
Скачайте утилиту hijackthis http://www.trendsecure.com/portal/en...kthis/download или отсюда http://exfile.ru/91916
Если не устанавливается hijackthis, скачайте портабельную версию (не требующую установки) отсюда http://exfile.ru/96392

установите эту программу на диске (отметив I Accept в пользовательском соглашении).
Запуск программы в Windows Vista должен производится через контекстное меню "Запустить от имени Администратора"!!!!!
Выберите в ней "Do a system scan and save a logfile"
по окончании сканирования появится текстовый файл hijackthis.log Этот файл разместите на любом файлообменнике (например http://exfile.ru , http://webfile.ru/ или другой)
(указав на форуме в своей теме ссылку на этот файл)
После анализа лога вам предложат прозвести удаление проблемных записей, выявленых программой. Для этого запустите повторно программу и выберите кнопку "Do a system scan only". В открывшейся таблице с результатами необходимо будет отметить только те строки которые укажут вам!!!! и затем нажмите Fix Checked.

МБАМ больше не находит вирусов?Кстати его новый лог тоже не мешало бы прикрепить.
help? вне форума  
Ads
Старый 09.05.2010, 19:00   #9 (ссылка)
Новичок
 
Аватар для gestia-femida
 
Регистрация: 09.05.2010
Сообщений: 10
Репутация: 1
По умолчанию

http://exfile.ru/99383
gestia-femida вне форума  
Старый 09.05.2010, 19:04   #10 (ссылка)
Заблокирован
Стажёр
 
Регистрация: 25.02.2010
Сообщений: 906
Репутация: 79
По умолчанию

Пофиксите в хайджеке:
Код:
F2 - REG:system.ini: UserInit=userinit.exe,
O20 - AppInit_DLLs: 0
O24 - Desktop Component 0: (no name) - file:///C:/DOCUME~1/Admin/LOCALS~1/Temp/msohtml1/01/clip_image002.jpg
Перезагрузите ПК,повторите лог хайджека.
Код:
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
 >>  Разрешен автозапуск с HDD
 >>  Разрешен автозапуск с сетевых дисков
 >>  Разрешен автозапуск со сменных носителей
Что из этого НЕ надо?Все-таки сделайте лог MBAM.
127.0.0.1 jL.chura.pl
Сами делали запись в HOSTS?
help? вне форума  
Старый 09.05.2010, 19:09   #11 (ссылка)
Стажёр
 
Аватар для snifer67
 
Регистрация: 11.04.2010
Сообщений: 977
Репутация: 96
По умолчанию

Выполните скрипт в avz
Код:
begin
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\userinit.exe','');
 DeleteFile('C:\Documents and Settings\Admin\Шаблоны\6084-NendangBro.com');
DeleteFileMask('C:\WINDOWS\Tasks','At*.job', false);
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
ПК перезагрузится.

Выполнить скрипт в AVZ.
Код:
var
  qfolder: string;
  qname: string;
begin
  qname := GetAVZDirectory + '..\Quarantine\quarantine.zip';
  qfolder := ExtractFilePath(qname);
  if (not DirectoryExists(qfolder)) then CreateDirectory(qfolder);
  CreateQurantineArchive(qname);
  ExecuteFile('explorer.exe', qfolder, 1, 0, false);
end.
Вы увидите папку с архивом. Это - карантин.
Карантин отправьте на newvirus@tut.by (размер карантина должен быть больше 5кб)
Сделайте новые логи.
snifer67 вне форума  
Старый 09.05.2010, 19:18   #12 (ссылка)
Заблокирован
Стажёр
 
Регистрация: 25.02.2010
Сообщений: 906
Репутация: 79
По умолчанию

snifer67, я userinit.exe карантинил,зачем опять повторяться?
help? вне форума  
Старый 09.05.2010, 19:31   #13 (ссылка)
Новичок
 
Аватар для gestia-femida
 
Регистрация: 09.05.2010
Сообщений: 10
Репутация: 1
По умолчанию

лог MBAM http://exfile.ru/99387

---------- Добавлено в 18:21 ---------- Предыдущее сообщение было написано в 18:20 ----------

я не делала запись в HOSTS

---------- Добавлено в 18:31 ---------- Предыдущее сообщение было написано в 18:21 ----------

повторный лог хайджека http://exfile.ru/99390

Что из этого НЕ надо?-???
gestia-femida вне форума  
Старый 09.05.2010, 19:32   #14 (ссылка)
Заблокирован
Стажёр
 
Регистрация: 25.02.2010
Сообщений: 906
Репутация: 79
По умолчанию

А где лог МБАМ?
help? вне форума  
Старый 09.05.2010, 19:33   #15 (ссылка)
Новичок
 
Аватар для gestia-femida
 
Регистрация: 09.05.2010
Сообщений: 10
Репутация: 1
По умолчанию

лог MBAM http://exfile.ru/99387
gestia-femida вне форума  
 


Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
 
Опции темы

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.


Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
Рабочий комп заражен макгрегор Безопасность 14 20.11.2010 17:25
/WINDOWS/SYSTEM32/CONFIG/SYSTEM Илья Воротнёв Windows XP 11 09.11.2010 13:13
приложение или библиотека С:\WINDOWS\System32\BROWSEUI.dll не является образом... Tekramrepus Безопасность 0 05.11.2010 04:24
Не найден файл сценария C:\windows\system32\open.vbs klinok Безопасность 11 21.10.2010 15:49
c:\WINDOWS\system32\drivers\etc\hosts zhitomir Windows XP 18 13.10.2010 22:45
Помогите!!! windows system32 config system отсутствует excellent Windows XP 20 09.07.2010 22:28
Заражен непонятным вирусом adolf_ghost Безопасность 8 02.07.2010 14:04
комп ищет и не находит windows\system32\zsdceiw.exe dvbelyanin Windows XP 1 01.07.2010 12:21
Помогите "после проверки AVZ выдает-D:\WINDOWS\system32\cmdow.exe" эрик Безопасность 10 26.06.2010 00:16
Компьютер заражен вирусами Намар Безопасность 2 05.01.2010 17:20
C: windows\system32\cdclose.dll вирус удален nurasyl Безопасность 5 06.11.2009 18:38
Комп заражен Win32.Virut30 Андрюха Безопасность 14 25.02.2009 20:59


Текущее время: 15:33. Часовой пояс GMT +4. Powered by vBulletin® Version 5.8.9
Copyright ©2000 - 2016, Jelsoft Enterprises Ltd.