на всякий случай ...
выполните скрипт ...
пришлите карантин согласно приложения 3 правил ...Код:begin QuarantineFile('C:\WINDOWS\system32\sfc_os.dll',''); BC_ImportQuarantineList; BC_Activate; RebootWindows(true); end.
на всякий случай ...
выполните скрипт ...
пришлите карантин согласно приложения 3 правил ...Код:begin QuarantineFile('C:\WINDOWS\system32\sfc_os.dll',''); BC_ImportQuarantineList; BC_Activate; RebootWindows(true); end.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Да, и еще такой скриптик:
Код:begin regkeyparamdel('HKEY_USERS', '.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run', 'LinkDel'); end.
I am not young enough to know everything...
Пациент скорее жив ...
Выполнил предложенные скрипты, карантин выслал.
Спасибо.
хорошая новость ...
C:\WINDOWS\system32\sfc_os.dll - чистый
плохая новость ...
C:\WINDOWS\system32\ntoskrnl.exe Trojan.Win32.Patched.at
необходимо заменить .... из дистрибутива
заменить можно так
Пуск/выполнить/cmd
expand d:\i386\ntoskrnl.ex_ c:\windows\system32\ntoskrnl.exe
вместо d буква вашего cd
затем еще раз логи ...
Этот этап для меня сложноват. Комп офисный, фирма маленькая (админа, техника и т.п. нет), кто устанавливал, где диски (самое главное есть ли они) - для нас это сложные вопросы. Завтра постараюсь разузнать.Сообщение от V_Bond
вот залил вам ntoskrnl.ex_
Скачав файлик положите его например в корень диска C ,тогда его замена будет выглядеть так :
Пуск--выполнить--cmd
expand с:\ntoskrnl.ex_ c:\windows\system32\ntoskrnl.exe
и про логи не забудьте.
За файл спасибо, но закачать не получается. Ошибка 502 Bad Gateway
Попробовать позже? А можна с другого компа взять или он тоже может быть заражен ? (на работе сетка, пять компов).
лучше попробуйте позднее ... там файл гарантировано чистый...
или ищите диск...
Пробуй позже. Не рискуй. Других мы еще не проверяли, не знаем что там живет.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Файл нашел, спасибо.
Попытка замены закончилась "не удается открыть системный файл c:\windows\system32\ntoskrnl.exe"
Либо что-то не так сделал, либо версия виндов не та.
Это home или pro?
Лог getsysteminfo не помешает для выяснения ситуации. сделай его, плс.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Извиняюсь за свои знания (вернее их отсутствие), но лог getsysteminfo это скрипт в AVZ (срипт сбора информации...)?
Про и там и там, СП2 тоже.
getsysteminfo - программа с сайта Касперского.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Лог сделал, его прикрепить к сообщению или загрузить (создать архив с паролем virus)?
прикрепить ...
Прикрепить не получилось, он весит 1.42 МБ, по весу не проходит как вложение
Сжать rar-ом и прикрепить.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Виноват, затупил
Последний раз редактировалось ig473; 10.03.2009 в 20:59.
Выполнить скрипт:
После перезагрузки прислать boot_clr.logКод:begin SetAVZGuardStatus(true); BC_LogFile(GetAVZDirectory + 'boot_clr.log'); BC_DeleteFile('C:\WINDOWS\System32\drivers\runtime.sys'); BC_DeleteFile('C:\WINDOWS\system32\DefLib.sys'); BC_DeleteSvc('runtime'); BC_Activate; RebootWindows(true); end.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Уважаемый(ая) ig473, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
