Здравствуйте!
3 дня назад на комп самостоятельно установилась прога, которая мгновенно объявила себя супер антивирем, "просканила" комп, найдя чего-то там и предложила зарегиться. SAV ее обнаружил и стал "бороться". Удалил не все. Я удалил все что смог и просканил комп CUREit`ом. Потом снес SAV и поставил SEP. И вот уже 3 дня он безуспешно пытается изгнать Packed.Generic.233!!! Находит его, просит ребута, после этого снова его находит и так далее... Уже и автовосстановление системы отключил и Temp чистил. Но после ребута в Temp снова появляются 2 файла - можт это они и есть. Файлы типа BN6(7,.tmp
Сегодня произвел все действия, которые описаны у вас в правилах.
Нужные файлы прилагаю.
Заранее благодарю!
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
кстати, если это важно, то пока ничего не изменилось - Symantec все так же находит этот Packed.Generic.233
о! только теперь (вот прям сейчас) он написал "Исправлен путем удаления", вместо "Требуется перезагрузка"
C:\WINDOWS\system32\Drivers\Ntfs.sys заменить по этой методике
насчет вот этого не очень понял. у меня окна ломаные и дистрибутива этого файла нет. что делать? новые логи делать?
Последний раз редактировалось kotzilla; 15.08.2009 в 13:00.
Причина: Добавлено
Еще раз провел чистку CUREit`ом
вот 2 записи касающиеся файла, который вы мне рекомендовали заменить:
1) ntfs.sys - C:\Windows\system32\dllcache - BackDoor.Bulknet.404 - Исцелен
2) ntfs.sys - C:\Windows\system32\drivers - BackDoor.Bulknet.404 - Исцелен
Так же найдено и удалено много чего другого. Есть скрин. Могу выслать.
и еще такой вопрос (если файл все таки не вылечен). есть возможность получить ПО МЫЛУ незараженный файл. подойдет?
Похоже, что вылечен. А в принципе - подойдет, если система - донор имеет тот же сервис пак и язык интерфейса.
В статье же про это написано.
Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
- Отключите ПК от интернета/локалки
- Отключите Антивирус и Файрвол.
- Отключите Системное восстановление.
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Повторите в точности действия, описанные в пп.1 - 3 раздела правил Диагностика, новые логи прикрепите к новому сообщению.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
После этого действия
"-Пофиксите
Код:
O4 - HKLM\..\Run: [Regedit32] C:\WINDOWS\system32\regedit.exe"
я перегрузил комп, согласно инструкции. Мастер оборудования нашел какое-то новое оборудование, хотя я ничего не "втыкал"
Теперь в "Оборудовании" числится какое-то неопознанное устройство.
ВАсе остальное сделал. Логи высылаю
карантин выслал
Последний раз редактировалось Rene-gad; 15.08.2009 в 20:04.
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: