-
Junior Member
- Вес репутации
- 59
Перезагрузка при запуске cureit and AVZ
Здравствуйте, уважаемые!
Как никогда срочно требется ваша помощь!
Имеется Win XP, установлен агент DrWeb ES (работает плохо)
Симптомы:
1. Cureit запускается только в безопасном режиме
2. Сегодня не загрузилась в безопасном режиме-попросила выбрать вариант загрузки, ОС и после выбора ушла в перезагрузку. Восстановила с помощью AVZ.
3. Периодически перегружается сама по себе. Это моя вторя попытка обратиться к вам.
4. Выполнить в AVZ стандартный скрипт " Скрипт лечения/карантина..." не удаётся-перезагрузка.
Ранее я всегда обращалась к вам по поводу юзерских компов, там всё проще. На сей раз прошляпила собственную. Очень важно обойтись без переустановки. Установлено много софта, который потеряется безвозвратно, по причине утраты инсталяционных дисков. А до создания образа как всегда не дошли руки
Как никогда надеюсь на помощь!!!!!!!!!!!!!!
С уважением, VMD
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Закройте все программы.
Запустите AVZ.
Выполните скрипт через меню Файл:
Код:
begin
SetAVZGuardStatus(True);
SetAVZPMStatus(True);
QuarantineFile('C:\WINDOWS\system32\SSVICHOSST.exe','');
DelBHO('{2318C2B1-4965-11d4-9B18-009027A5CD4F}');
QuarantineFile('C:\WINDOWS\system32\svshost.dll','');
QuarantineFile('C:\WINDOWS\system32\mmsnyiya.dll','');
QuarantineFile('C:\WINDOWS\GOHINGCQ.exe','');
DeleteService('vmi386');
QuarantineFile('C:\WINDOWS\System32\drivers\vmi386.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\TDIMSYS.SYS','');
DeleteFile('C:\WINDOWS\System32\drivers\vmi386.sys');
DeleteFile('C:\WINDOWS\GOHINGCQ.exe');
DeleteFile('C:\WINDOWS\system32\mmsnyiya.dll');
DeleteFile('C:\WINDOWS\system32\svshost.dll');
DeleteFile('C:\WINDOWS\system32\SSVICHOSST.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин так, как написано в приложении 3 Правил.
Сделайте новый лог по пункту 2 Диагностики и приложите к этой теме.
Установите Adobe Acrobat 9 или удалите старый.
Советую установить Service Pack 3 на Windows (может потребоваться активация).
Сообщение от
VMD
Выполнить в AVZ стандартный скрипт " Скрипт лечения/карантина..." не удаётся-перезагрузка.
Попробуйте отключить автоматическую перезагрузку:
Свойства компьютера - Дополнительно - Загрузка и восстановление.
И запишите первые две строки с синего экрана (если он появится).
-
-
Junior Member
- Вес репутации
- 59
Скрипт выполнен.
virus.zip выслан через Прислать запрошенный карантин
Удалить старый ADOBE Reader не удалось, возникла ошибка: Нет доступа к службе установки Windows. Возможно система запущена в безопасном режиме или Windows Installer установлен неправильно. Обратитесь в службу поддержки.
При попытке отключить автоматическую загрузку синий экран не появился.
SP3 установлю только после решения остальных проблем-думаю, что это разумно. Хотя, возможно, и ошибаюсь. С активацией, надеюсь, всё будет в порядке-винда лицензионная.
Не вижу как прикрепить лог по п.2. Поищу и дошлю.
-
Junior Member
- Вес репутации
- 59
Простите, не сразу сообразила как прикрепить лог.
Вот он...
-
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('RQRSPOVS');
QuarantineFile('C:\WINDOWS\system32\drivers\RQRSPOVS.sys','');
DeleteFile('C:\WINDOWS\system32\drivers\RQRSPOVS.sys');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteSvc('RQRSPOVS');
BC_Activate;
RebootWindows(true);
end.
Пришлите карантин, очистите планировщик заданий и повторите логи...
-
-
Закройте все программы.
Запустите AVZ.
Выполните скрипт через меню Файл:
Код:
begin
SetAVZGuardStatus(True);
DeleteService('RQRSPOVS');
QuarantineFile('C:\WINDOWS\system32\drivers\RQRSPOVS.sys','');
DeleteFile('C:\WINDOWS\system32\drivers\RQRSPOVS.sys');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteSvc('RQRSPOVS');
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин так, как написано в приложении 3 Правил.
Приложный в предыдущем сообщении файл карантина (virus.zip) уберите.
-
-
Junior Member
- Вес репутации
- 59
Скрипт выполнен.
virus.zip отослан как в приложении 3
Как убрать virus.zip из прошлого сообщения не знаю. Инструкцию не нашла
С уважением, vmd.
-
-
-
Пойманный зверь будет детектироваться как Trojan.Sentinel.135
-
-
Junior Member
- Вес репутации
- 59
Очень странно, утром отправила сообщение с прикреплёнными логами. Теперь не вижу ни сообщения, ни прикреплённых логов.
Повторить?
Последний раз редактировалось VMD; 21.11.2008 в 09:56.
Причина: Синт.ошиба. Извините.
-
-
-
Junior Member
- Вес репутации
- 59
Повторяю:
1. AVZ стандартный скрипт №2 выполняет
2. Cureit работает и в нормальном режиме
3. Из "установки/удаления..." программы удаляются
В безопасном режиме грузится
Спасибо огромное! Снимаю шляпу!
Ещё вопрос: а что детектирует этого трояна?
Честно говоря, запарилась, имея лицензированный антивирус постоянно с чем-нибудь бороться. А компов-то под 100 штук.
Вот логи.
-
В логах ничего опасного не видно.
Сообщение от
VMD
Ещё вопрос: а что детектирует этого трояна?
Dr.Web
Cканер от Dr.Web Enterprise активного трояна может и не вылечить. А Cureit, скаченный сегодня, имеет шансы.
Сообщение от
VMD
Честно говоря, запарилась, имея лицензированный антивирус постоянно с чем-нибудь бороться.
Когда не обновляется ни ОС ни программы, антивирусу приходится очень тяжело, рано или поздно любой обложается.
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 15
- В ходе лечения вредоносные программы в карантинах не обнаружены
-