-
Junior Member
- Вес репутации
- 60
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\mstmdm.dll','');
QuarantineFile('C:\WINDOWS\system32\basegddxo32.dll','');
QuarantineFile('c:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe','');
DeleteFile('c:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe');
DeleteFile('C:\WINDOWS\system32\basegddxo32.dll');
DeleteFile('C:\WINDOWS\system32\mstmdm.dll');
DelCLSID('{28ABC5C0-4FCB-11CF-AAX5-81CX1C635612} ');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Пришлите карантин по правилам,повторите логи.
-
-
Junior Member
- Вес репутации
- 60
Файл сохранён как 080602_021050_virus_48439cfa35229.zip
Размер файла 22108
MD5 10caadb21015d2bd90fbdd2674818274
карантин выслал , логи щас повторю
Пока не могу еще в нормальном режиме загрузиться ! Делаю в безопасном
-
Junior Member
- Вес репутации
- 60
Последний раз редактировалось BMW; 05.06.2008 в 13:56.
-
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\TEMP\winlogon.exe','');
QuarantineFile('C:\WINDOWS\farkrish.exe','');
DeleteFile('C:\WINDOWS\TEMP\winlogon.exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Пришлите карантин,повторите логи с п.10 правил
-
-
Junior Member
- Вес репутации
- 60
не нравиться мне вот это "[KernelFaultCheck] %systemroot%\system32\dumprep 0 -k" - висит в автозагрузке.
карантин выслал
Файл сохранён как 080602_031511_virus_4843ac0fafbf6.zip
Размер файла 218122
MD5 192a5eac4e00b452d4b953f5e485feec
новые логи, проверил архив карантина на вирустотал - показывает что файлы чистые
Так же пока зайти в нормальном режиме не могу, все делаю в безопасном
Последний раз редактировалось BMW; 05.06.2008 в 13:56.
-
Junior Member
- Вес репутации
- 60
я так полагаю если убрать вот это "[KernelFaultCheck] %systemroot%\system32\dumprep 0 -k" с автозагрузки то он не должен перегружаться . Правильно я мыслю ?
-
Да. Правильно.
Это вызов автомат. перезагрузки при появлении ошибок. Если перенастроить это дело, то будет БСОД, на котором можно прочитать кто виноват.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 60
Сообщение от
PavelA
Да. Правильно.
Это вызов автомат. перезагрузки при появлении ошибок. Если перенастроить это дело, то будет БСОД, на котором можно прочитать кто виноват.
БСОД не вылетил как только рабочий стол появляется при нормальной загрузке комп берет и в перегруз уходит. И опять появляется в автозагрузке этот файл и еще там висит вот эта гадость "farkrish"
-
Выполнить скрипт. Файл этот гугл не знает, попробуем глохнуть.
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\farkrish.exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 60
Вызвал БСОД ссылается на файл amon.sys так же в корне диска С обнаружил файл 367.tmp полагаю его можно грохнуть
Добавлено через 3 минуты
в нормальный режим все так же зайти не могу
Последний раз редактировалось BMW; 02.06.2008 в 13:15.
Причина: Добавлено
-
Значит, задача будет просто: деинсталлировать НОД, а потом установить заново.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 60
Сообщение от
PavelA
Значит, задача будет просто: деинсталлировать НОД, а потом установить заново.
Вот что я и сделал еще даже не прочитал сообщение Щас качаю каспера и поставлю. А в логах ничего подозрительного нет которые я последние отправлял ?
-
Твоего 'C:\WINDOWS\farkrish.exe' Симантек убил на подлете. Он был в посл. карантине.
Добавлено через 59 секунд
Trojan.Peacomm.D - 'C:\WINDOWS\farkrish.exe' по Симантеку.
По описанию, может завершать процессы антивирусов, поэтому м.б. Нод в этих бедах не был виноват.
Последний раз редактировалось PavelA; 02.06.2008 в 13:57.
Причина: Добавлено
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 60
Сообщение от
PavelA
Твоего 'C:\WINDOWS\farkrish.exe' Симантек убил на подлете. Он был в посл. карантине.
Добавлено через 59 секунд
Trojan.Peacomm.D - 'C:\WINDOWS\farkrish.exe' по Симантеку.
По описанию, может завершать процессы антивирусов, поэтому м.б. Нод в этих бедах не был виноват.
Ну я так и подумал что вирусня НОД убила и начала резвиться по полной Спасибо вам огромное . Ну если зловредов нет значит закрываем тему. Сейчас как раз пишу в нормальном Режиме