Посмотрите плиз логи и помогите дочистить комп.
Посмотрите плиз логи и помогите дочистить комп.
Последний раз редактировалось Сергей Ю.; 08.12.2009 в 12:27.
выполните скрипт
пришлите карантин согласно приложения 3 правилКод:begin SetAVZGuardStatus(True); QuarantineFile('C:\Documents and Settings\Administrator\Application Data\ntos.exe',''); DeleteFile('C:\Documents and Settings\Administrator\Application Data\ntos.exe'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
повторите логи
Скрипт выполнил. В карантине пусто
Логи заново сделал.
Последний раз редактировалось Сергей Ю.; 08.12.2009 в 12:26.
Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
- Обновите базы АВЗ: (Файл/Обновление баз).
- Отключите ПК от интернета/локалки
- Отключите Антивирус и Файрвол.
- Отключите Системное восстановление.
-Пофиксите:
-Выполните скрипт:Код:R3 - URLSearchHook: (no name) - {95289393-33EA-4F8D-B952-483415B9C955} - (no file) R3 - URLSearchHook: (no name) - - (no file) F2 - REG:system.ini: UserInit=userinit.exe,C:\Documents and Settings\Administrator\Application Data\ntos.exe O4 - HKLM\..\Run: [ntuser] C:\WINDOWS\system32\drivers\spools.exe
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\winsys2.exe',''); QuarantineFile('C:\WINDOWS\system32\drivers\spools.exe',''); DeleteFile('C:\WINDOWS\system32\drivers\spools.exe'); BC_ImportAll; ExecuteSysClean; BC_Activate; SetAVZPMStatus(True); RebootWindows(true); end.
- Проверьте и при необходимости очистите файл hosts.
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Повторите в точности действия, описанные в пп.1 - 3 раздела правил Диагностика, новые логи прикрепите к новому сообщению.
Наконецто снова руки дошли до этого сервера. Еще раз почистил все дрвебом, до кучи нодом. Запустил сценарий АВЗ и... комп перестал пускать под любой учеткой даже в безопасном режиме. Снес в реестре запуск winsys2.exe и почистил ветку с winlogon. Теперь пускает. Вот новые логи:
Непонятно почему почти все службы и прочие виндовые проги стартуют из профиля админа? Как вернуть в зад? Ручками перерыть реестр?
П.С. Сервак мне таким достался уже Бывшему админу руки оторвать надо за то что так загадил систему. Уже порываюсь все переустанавливать. Может еще оживить можно?
Последний раз редактировалось Сергей Ю.; 08.12.2009 в 12:26.
Неужели никто не поможет
Боже упаси!
http://z-oleg.com/secur/avz_doc/faq_14.htm
О как! Спасибо. Щас локально запущу. На будущее учту
Добавлено через 5 часов 52 минуты
Нда... однако там реально в профиле админа есть каталог Windows и в нем system, system32 и прочее
Но там нет таких файлов для запуска служб
Логи делал в этот раз через РАдмин, т.к. физического доступа к серверу нет.
Какойто список процессов без имени еще до кучи?
Может всетаки "убить" его чтоб не мучился?
Добавлено через 12 минут
Пытаюсь этот smss в карантин сунуть для анализа (не нравится мне он чтото), не получается. Пусто там
Последний раз редактировалось Сергей Ю.; 08.10.2009 в 21:46. Причина: Добавлено
Актуально
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 1
- В ходе лечения вредоносные программы в карантинах не обнаружены
Уважаемый(ая) Сергей Ю., наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.