-
Junior Member
- Вес репутации
- 53
Снова Internet Security
Поймал заразу, как у Fox-RK. Зараженная система отказывается загружаться даже в безопасном режиме, выдает синий экран. При лечении с чистой системы на том же компе AVast нашел Win32:FakeAV-AFE [Trj], Win32:Trojan-gen, Win32: Patch-N [Trj]? Win32:FakeAV-AFQ [Trj].
Восстановил винды, но начались те же симптомы. Попытался перезагрузиться в безопасном режиме, чтобы проверить комп по Правилам, но система запускаться опять отказалась.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
-
-
Junior Member
- Вес репутации
- 53
Сообщение от
AndreyKa
ADSSpy пробовали?
Нет. А как это пробовать?
После танцев с бубном (замены atapi.sys) систему удалось запустить. Логи прицепил. В безопасном режиме система так и не взлетает - виснет при загрузке.
Последний раз редактировалось Tommy-gun; 21.10.2010 в 10:03.
-
Закройте все программы. Запустите AVZ. Выполните скрипт через меню Файл:
Код:
begin
SetAVZGuardStatus(True);
DeleteFile(GetAVZDirectory+'log\virusinfo_cure.zip');
ExecuteRepair(6);
ExecuteWizard('TSW', 2, 2, true);
QuarantineFile('C:\WINDOWS\TEMP\rvldd.dll','');
DeleteFile('C:\WINDOWS\TEMP\rvldd.dll');
QuarantineFile('H:\autorun.exe','');
QuarantineFile('H:\autorun.inf','');
QuarantineFile('E:\autorun.exe','');
QuarantineFile('D:\autorun.exe','');
QuarantineFile('D:\autorun.inf','');
QuarantineFile('C:\WINDOWS\system32\winsys2.exe','');
QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
QuarantineFile('C:\Documents and Settings\Delia Wood\svchost.exe','');
QuarantineFile('C:\Documents and Settings\Delia Wood\Application Data\setup.exe','');
QuarantineFile('c:\documents and settings\delia wood\svchost.exe','');
DeleteFile('c:\documents and settings\delia wood\svchost.exe');
DeleteFile('C:\Documents and Settings\Delia Wood\Application Data\setup.exe');
DeleteFile('C:\Documents and Settings\Delia Wood\svchost.exe');
DeleteFile('C:\WINDOWS\system32\sdra64.exe');
RegKeyStrParamWrite('HKLM','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows','AppInit_DLLs', '');
DeleteFile('D:\autorun.inf');
DeleteFile('D:\autorun.exe');
DeleteFile('E:\autorun.inf');
DeleteFile('E:\autorun.exe');
DeleteFile('H:\autorun.inf');
DeleteFile('H:\autorun.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите файлы из карантина AVZ (см. приложение 3 Правил), используя ссылку Прислать запрошенный карантин, вверху этой темы.
Сделайте новый лог из пункта 2 Диагностики (virusinfo_syscheck.zip) и приложите к этой теме.
-
-
Junior Member
- Вес репутации
- 53
Логи тут. Сейчас отправлю карантин.
Некоторые программы ругаются, требуя, чтобы я отключил отладчик ядра. Не подскажете, что это может быть?
Upd. Карантин отправил
Последний раз редактировалось Tommy-gun; 21.10.2010 в 10:03.
-
В логе чисто.
В AVZ меню - Файл - Восстановление системы - в строчке
10. Восстановление загрузки в Safe Mode
поставьте галочку. Нажмите кнопку Выполнить ...
Перезагрузите компьютер.
Попробуйте войти Безопасный режим.
Сообщение от
Tommy-gun
Некоторые программы ругаются, требуя, чтобы я отключил отладчик ядра.
Откройте файл boot.ini на системном диске (обычно C:\ Файл boot.ini может быть скрыт и иметь атрибут "только для чтения") с помощью программы "Блокнот" и удалите следующие параметры:
/debug
/debugport
/baudrate
Источник: http://msdn.microsoft.com/ru-ru/library/cysxtck9.aspx
-
-
Junior Member
- Вес репутации
- 53
Сообщение от
AndreyKa
Попробуйте войти Безопасный режим.
Спасибо, работает.
boot.ini не содержит указанных параметров.
Если точно, Daemon Tools Lite при попытке запуска говорит: "Для этого приложения необходима, как минимум, Windows 2000 и SPDT 6.10 или выше. Отладчик ядра должен быть деактивирован."
-
Деинсталлируйте Daemon Tools Lite и скачайте новый.
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 10
- В ходе лечения обнаружены вредоносные программы:
- c:\documents and settings\delia wood\application data\setup.exe - Trojan.Win32.VB.aabv ( BitDefender: Trojan.Generic.2794360 )
- c:\windows\system32\sdra64.exe - Trojan-Banker.Win32.Bancos.lni ( BitDefender: Gen:Trojan.Heur.GM.0040024900 )
-