Комп был заражен. Не устанавливались Антивирусы. Не запускался в safemode. Пролечил компьютер. После этого IE запускается и через 2-3 сек закрывается. В безопасный режим не заходит. Есть подозрение, что что-то не долечилось. Заранее спасибо.
Комп был заражен. Не устанавливались Антивирусы. Не запускался в safemode. Пролечил компьютер. После этого IE запускается и через 2-3 сек закрывается. В безопасный режим не заходит. Есть подозрение, что что-то не долечилось. Заранее спасибо.
1.Отключите ПК от сети.
2.Отключите Антивирус.
3.Отключите системное востановление.
4. Выполните скрипт
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteService('RDPSSW32'); DelBHO('{1F460357-8A94-4D71-9CA3-AA4ACF32ED8E}'); DelCLSID('{28ABC5C0-4FCB-11CF-AAX5-81CX1C635612} '); QuarantineFile('E:\WINDOWS\system32\RDPSSW32.EXE',''); QuarantineFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe',''); DeleteFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe'); DeleteFile('E:\WINDOWS\system32\RDPSSW32.EXE'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
5. Очистите темп-папки и кэш проводников.
6. Закачайте карантин по красной ссылке вверху темы
7. Повторите логи.
В карантине ничего нет. Эти файлы были удалены мной несколько ранее. Вирустотал сказал, что в ise32.exe - троян и я его убрал. RDPSSW32.EXE - был чистый.
EI - по прежнему не стартует и закрывается через 2-3 сек. В безопасном режиме комп не загружаеться.
Может удалить КАВ, чтобы стало яснее?
Кто-то подскажет??? Как восстановить настройки EI и SafeMode???
Заранее спасибо!
Последний раз редактировалось Rene-gad; 21.06.2008 в 20:11.
Правым мышем прикоснитесь к корзине, Свойства/Глобальные свойства, поставьте крест Файлы удалять немедленно (без помещения в корзину).
Потом выполните скрипт
Повторите логиКод:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DelCLSID('{28ABC5C0-4FCB-11CF-AAX5-81CX1C635612} '); QuarantineFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe',''); DeleteFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe'); BC_DeleteFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; ExecuteRepair(2); ExecuteRepair(3); ExecuteRepair(4); ExecuteRepair(10); ExecuteRepair(13); RebootWindows(true); end.
При сборе лога Стандартный скрипт №3
AVZ выдает ошибку. Со множеством откыващихся окон.
2. Проверка памяти
Количество найденных процессов: 22
Количество загруженных модулей: 265
Проверка памяти завершена
3. Сканирование дисков
Ошибка выполнения команды RUNSCAN, ошибка - Access violation at address 00401F2F in module 'avz.exe'. Read of address 4643534D
Создание архива с файлами из карантина
Ошибка выполнения команды CREATEQURANTINEARCHIVE, ошибка - Access violation at address 00402254 in module 'avz.exe'. Write of address 4643535D
Выполняется исследование системы
Сделал - Выключить защиту, выход. Выключен полностью. Может его снести на время?
Перезагрузился, сделал, получилось.
Вы Корзину отключали: http://virusinfo.info/showpost.php?p=244641&postcount=4 ? Для всех пользователей?
Опорожните ве корзины - насколько возможно. Скачайте http://vc.kiev.ua/vc/download/vc405sk.zip и проверьте содержимое всех Корзин.
Потом повторите лог по стандартному скрипту 2
Удалил папки Recycler со всех дисков. Что делать с кусочком от ВолковКоммандера - не понял.
Вариантов нет?
выполните скрипт ....
пришлите карантин согласно приложения 3 правил ...Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe',''); DeleteFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe'); DelCLSID('28ABC5C0-4FCB-11CF-AAX5-81CX1C635612'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
повторите лог ...
пункт 2 правил выполнялся ?
1. По поводу файлов в папках Recycler - я эти папки прибил, и отключил использование корзиной. При загрузке с сиди - этих папок нет.
2. Карантин пустой - там ничего нет.
3. Проверка CureIT - выполнялась, но не в SafeMode. SafeMode комп не загружается - зависает во время загрузки.
4. Установлен КАВ 7. Который запускается, но ничего не находит.
5. По-прежнему не стартует EI. Обновление на 7ю версию не помогло.
Спасибо.
Вы меня не поняли : Дело на в дисках, а в количестве учеток на ПК - каждая учетка имеет свой собственный Рисайклер, который может быть сконфигурирован для каждого диска или для системы в целом. Поэтому нужно проверить Recyclerы для всех учеток на ПК (не забудьте учетку Админа, которая доступна только из безопасного режима, пароля у нее по умолчанию нет).
С каким кусочком?
В одном из Рисайклеров сидит зловред - по крайней мере его АВЗ показывает:
.Код:C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe
М.б. как только мы его уберем - все заработает. А может - нет
Последний раз редактировалось Rene-gad; 22.06.2008 в 11:21. Причина: Добавлено
У меня работает одна учетка. Остальные не используются. Исходя из этого я не понимаю где рецайклеры остальных пользователей. Папок Recycler нет. Я их удалил. ise32.exe - действительно был трояном, но я его давно удалил. А что такое Active Setup???
Снес кав. После этого начал работать EI. Правда кривовато.
Собрать логи еще раз?
Да админ виден из под безопасного режима, только безопасный режим, у меня не работает.
Опера работает.
EI7 так как только начал работать, отправляет на http://runonce.msn.com/runonce2.aspx. Страница скачивается полностью.
При просмотре html видно конец </html>. Но не отображается на экране.
Добавлено через 1 минуту
Как выключить Active Setup?
Последний раз редактировалось Demas; 22.06.2008 в 11:55. Причина: Добавлено
авз - сервис - менеджер Active Setup
Выключил Active Setup. После он перезагрузки не появился. Как восстановить работу SafeMode?
В логах вроде чисто.
Последний раз редактировалось Demas; 22.06.2008 в 13:27.
Уважаемый(ая) Demas, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.