Внешне кроме этого проблем нет, но наверное потому, что работают под ограниченной учеткой.
Внешне кроме этого проблем нет, но наверное потому, что работают под ограниченной учеткой.
Последний раз редактировалось Чижъ; 10.06.2009 в 13:52.
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Пришлите карантин по правилам и повторите логи...Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\Documents and Settings\All Users\Документы\yqknii.exe',''); DeleteFile('C:\Documents and Settings\All Users\Документы\yqknii.exe'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
карантин пуст, логи в процессе.
никак нельзя ускорить процесс их сборов? xчаса о 2-3 местами всю виндовую справку гоняет. и офисную тоже
логи и карантин
Последний раз редактировалось Чижъ; 10.06.2009 в 13:52.
Проблема еще наблюдается?
1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
После выполнения скрипта компьютер перезагрузится.Код:begin SetServiceStart('cdralw', 4); QuarantineFile('C:\WINDOWS\system32\DRIVERS\nvmini.sys',''); BC_ImportDeletedList; BC_Activate; RebootWindows(true); end.
Прислать карантин согласно приложения 3 правил .
Загружать по красной ссылке вверху этой темы "Прислать запрошенный карантин"
2.Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )
3. Обратите внимание: C:\WINDOWS\System32\r_server.exeКод:O2 - BHO: ThunderAdvise - {97421D0D-E07F-40DF-8F07-99597B9585AD} - (no file)
4. У Вас заметны остатки другого антивируса:
O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\EHttpSrv.exe
5.Обновлять систему и IE надоPlatform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
The worst foe lies within the self...
корректирую. Лечит в течении рабочего дня.ДрВеб лечит при каждой загрузке.
(причем в этот момент падает интернет на вин2003 Сервер, перезапуск служб, соединений и ПО, отвечающего за раздачу инета не помогает, только ребут. По Вин2003 помочь сможете?)
1. "Ошибка при попытке прямого доступа к файлу"
не дословно, но я думаю вы эту ошибку знаете. если нет - простите, пойду смотреть еще раз.
IceSword этот файлик не видит.
2. сделано
3. отключил, но он кажется безопасный?
4. удалил, но Нод был отключен. оставлен был по причинам человеческого фактора.
5. обновлять после лечения или сейчас начинать?
логи чуть позже..
Установите AVZPM и (после перезагрузки) сделайте лог virusinfo_syscure.zip (скрипт №3)
The worst foe lies within the self...
готово
Последний раз редактировалось Чижъ; 10.06.2009 в 13:52.
Давайте еще так попробуем:
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
После выполнения скрипта компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\artioslm.cpl',''); QuarantineFile('C:\WINDOWS\system32\artiosio.cpl',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Tablet2k.sys',''); QuarantineFile('C:\WINDOWS\system32\DRIVERS\SNTNLUSB.SYS',''); QuarantineFile('C:\WINDOWS\System32\Drivers\SENTINEL.SYS',''); DeleteService('cdralw'); StopService('cdralw'); QuarantineFile('C:\WINDOWS\system32\DRIVERS\nvmini.sys',''); QuarantineFile('C:\WINDOWS\system32\Drivers\Cdralw2k.sys',''); QuarantineFile('C:\WINDOWS\System32\ATMsrvc.exe',''); QuarantineFile('C:\WINDOWS\system32\spm\spmd.exe',''); QuarantineFile('C:\WINDOWS\system32\drivers\smwdm.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Cdralw2k.SYS',''); QuarantineFile('C:\Program Files\Alias\Maya6.0\docs\lib\Wrapper.dll',''); QuarantineFile('C:\WINDOWS\system32\mdimon.dll',''); QuarantineFile('C:\WINDOWS\system32\actxprxy.dll',''); DeleteFile('C:\WINDOWS\system32\DRIVERS\nvmini.sys'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Прислать карантин согласно приложения 3 правил .
Загружать по красной ссылке вверху этой темы "Прислать запрошенный карантин"
The worst foe lies within the self...
это модули программы artiosCADQuarantineFile('C:\WINDOWS\system32\artioslm.cpl', '');
QuarantineFile('C:\WINDOWS\system32\artiosio.cpl', '');
Добавлено через 13 минут
Файл закачан, спасибо!
Последний раз редактировалось Чижъ; 21.04.2009 в 17:27. Причина: Добавлено
1. Скачайте IceSword: http://mail.ustc.edu.cn/~jfpan/downl...Sword122en.zip
2. Запустите, слева внизу нажмите File, затем найдите файл:
C:\WINDOWS\system32\DRIVERS\nvmini.sys
и сделайте ему принудительное копирование в любое удобное для вас место и Force Delete.
3. AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
После выполнения скрипта компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); BC_DeleteSvc('cdralw'); DeleteFile('C:\WINDOWS\system32\DRIVERS\nvmini.sys'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Прислать карантин согласно приложения 3 правил .
Загружать по красной ссылке вверху этой темы "Прислать запрошенный карантин"
Так же прислать скопированный файл, заархивировав его с паролем virus.
The worst foe lies within the self...
А какие файлы DrWeb лечит?
The worst foe lies within the self...
причем еще на днях было22-04-2009 10:25:51 [CL] (PID = 0972) C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\ST4VC7KZ\root[1].gif - инфицирован Trojan.DownLoader.62110
22-04-2009 10:25:51 [CL] (PID = 0972) C:\WINDOWS\TEMP\wmsetup.dll - инфицирован Trojan.DownLoader.62110
22-04-2009 10:25:51 [CL] (PID = 0972) C:\WINDOWS\TEMP\wmsetup.dll - исцелен
22-04-2009 10:25:51 [CL] (PID = 0972) C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\ST4VC7KZ\root[1].gif - исцелен
22-04-2009 10:27:51 [CL] (PID = 1720) C:\Documents and Settings\Galya\Local Settings\Temporary Internet Files\Content.IE5\C7E9GHI7\root[1].gif - инфицирован Trojan.DownLoader.62110
22-04-2009 10:27:51 [CL] (PID = 1720) C:\Documents and Settings\Galya\Local Settings\Temp\wmsetup.dll - инфицирован Trojan.DownLoader.62110
22-04-2009 10:27:51 [CL] (PID = 1720) C:\Documents and Settings\Galya\Local Settings\Temporary Internet Files\Content.IE5\C7E9GHI7\root[1].gif - исцелен
22-04-2009 10:27:51 [CL] (PID = 1720) C:\Documents and Settings\Galya\Local Settings\Temp\wmsetup.dll - исцелен
поставил SP3+, антивирус молчит пока.. проверка ДрВебом ничего кроме радмина не находит. прибил радмин. AVTool не запускается ни из обычного, ни из безопасного:21-04-2009 10:56:24 [CL] (PID = 1296) C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\C5MTW1MB\root[1].gif - доступ к файлу запрещен
другой дистрибутив пробовалпрограмма выполнила недопустимую операцию и будет закрыта
еще симптомы:
- не отжимается "не показывать скрытые файлы и папки"
- в безопасном режиме приходится логинится ДВАЖДЫ, т.е. после первого ввода логина/пасса он еще раз высвечивает окно приветствия
по этому поводу комментариев не будет?AVTool не запускается ни из обычного, ни из безопасного
а так - как всегда низкий поклон.
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 13
- В ходе лечения вредоносные программы в карантинах не обнаружены
Уважаемый(ая) Чижъ, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.