Здравствуйте все. Второй день борюсь с одной из версий Mutant.
Во всех эккаунтах не грузится explorer, но стартует из Task managera.
Прошу помощи, а то завтра в отпуск... не отпустят
Здравствуйте все. Второй день борюсь с одной из версий Mutant.
Во всех эккаунтах не грузится explorer, но стартует из Task managera.
Прошу помощи, а то завтра в отпуск... не отпустят
отключить аваст вместе сo спайботом, иначе в отпуск уйдёте через 10 лет ПК от интернета/локалки.
сначала нужно скопировать ледяным мечём
C:\WINDOWS\system32\Drivers\Winms05.sys
C:\WINDOWS\system32\WinCtrl32.dll
Только после того как копии уже под паролем , удалите с помощью force delete (нажмите по ним правой кнопкой мыши и выберите force delete, на запрос подтверждения ответьте "да"):
C:\WINDOWS\system32\Drivers\Winms05.sys
C:\WINDOWS\system32\WinCtrl32.dll
Пофиксить в hijackthis
, не перегружаясь выполнить скрипт в avz:Код:O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\SYSTEM32\WinCtrl32.dll
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\Program Files\Oviont Inform\B2W\B2\B2UnRegComp.exe',''); QuarantineFile('C:\WINDOWS\Temp\8.tmp',''); QuarantineFile('C:\WINDOWS\system32\sysservice.exe',''); QuarantineFile('C:\windows\system32\oembios.exe',''); QuarantineFile('C:\WINDOWS\system32\Drivers\Winms05.sys',''); QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll',''); DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll'); DeleteFile('C:\WINDOWS\system32\Drivers\Winms05.sys'); DeleteFile('C:\windows\system32\oembios.exe'); DeleteFile('C:\WINDOWS\system32\sysservice.exe'); DeleteFile('C:\WINDOWS\Temp\8.tmp'); DeleteService('Winms05'); BC_ImportAll; ExecuteSysClean; ExecuteRepair(5); ExecuteRepair(6); ExecuteRepair(8); ExecuteRepair(9); ExecuteRepair(2); BC_Activate; RebootWindows(true); end.
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус / Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
Последний раз редактировалось drongo; 08.09.2008 в 19:25.
*Нажми и выполни, если хочешь чтобы помощь улучшилась и ускорилась
*MyFirefox Portable
special avz @ rapidshare.com
md5: 2091925798B7909E010E3F7E328C5F0D
Увы. После выполнения скрипта не могу залогиниться в систему. В save mode тоже.
тоже мертва
Со словами "Неполадка помешала Windows проверить лицензию для этого компьютера. Код ошибки 0x80070002" уходит в повторный логин
Добавлено через 43 секунды
конечно.
Последний раз редактировалось cruiser33; 08.09.2008 в 20:06. Причина: Добавлено
Попробуйте
1. Запуститесь с дистрибутива.
2. При загрузке давите на клавишу R. Попадете в косоль восстановления.
3. На приглашение введите строку:
Вместо Х - буква сидюка.Код:expand X:\i386\userinit.ex_ C:\WINDOWS\system32\userinit.exe
Переписывание подтвердите
4. Выйдите из консоли восстановления комадой exit + клавиша ВВОД.
5. Загрузитесь нормально.
загрузился администратором в save mode. Пишу логи.
Спасибо за expand. Кстати он не требует указания destination file.name кстати, только папка.
avz отваливается в процессе выполнения второго скрипта.
- Выполните скрипт
После перезагрузки попробуйте войти в нормальном режиме и повторить логи.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DelCLSID('{EA3775F2-28BE-11D3-9C8D-00105A24ED29}'); QuarantineFile('C:\Documents and Settings\user\Local Settings\Temp\IcnOvrly.dll',''); DeleteFile('C:\Documents and Settings\user\Local Settings\Temp\IcnOvrly.dll'); BC_ImportAll; ExecuteSysClean; executerepair(6); executerepair(8); executerepair(9); executerepair(11); executerepair(16); executerepair(17); BC_Activate; RebootWindows(true); end.
Антивирус - если не удастся выключить - можно и снести. Тут скорее всего произошел конфликт антируткита АВЗ с монитором Аваста
Avast уже снес.
кажется все?
ничего плохого ....
Большое спасибо всем специалистам!
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 5
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\system32\\oembios.exe - Trojan-Spy.Win32.Zbot.esc (DrWEB: Trojan.PWS.Panda.13)
- c:\\windows\\system32\\sysservice.exe - Backdoor.Win32.Agent.rfc (DrWEB: Trojan.DownLoad.4474)
- c:\\windows\\temp\\8.tmp - Backdoor.Win32.Agent.rfc (DrWEB: Trojan.DownLoad.4474)
Уважаемый(ая) cruiser33, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.