только недавно почистился, а тут через два дня после проверки CureIt и AVZ снова понаходило кучу гадостей. при єтом комп дико(!!!) тормозит при загрузке. и можно ли постараться разобраться со всем этим за сегодня, плиз?!
логи прикрепил.
Printable View
только недавно почистился, а тут через два дня после проверки CureIt и AVZ снова понаходило кучу гадостей. при єтом комп дико(!!!) тормозит при загрузке. и можно ли постараться разобраться со всем этим за сегодня, плиз?!
логи прикрепил.
Сразу куча вопросов: Почему в Safe Mode логи сделаны? Восстановление отключено? :( :(
Значит так, отключаем "Восстановление системы". Делаем логи в норм. режиме, перед этим очистив папку карантина AVZ.
З.Ы.
Про Антивирусы и фаерваллы в Одессе не знают тоже. :( Извини, если про город обшибся.
1. Отключите восстановление системы!!
2. Очистите временные файлы IE.
3. Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\svchost.exe','');
QuarantineFile('C:\WINDOWS\system32\vedxg6ame4.exe','');
QuarantineFile('C:\WINDOWS\system32\spoolsvv.exe','');
QuarantineFile('C:\WINDOWS\system32\kernelwind32.exe','');
QuarantineFile('C:\Documents and Settings\All Users\Documents\Settings\bot.dll','');
BC_QrSvc('runtime2');
BC_QrSvc('ip6fw');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.[/code]
4. После перезагрузки выполните второй скрипт:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\Documents and Settings\All Users\Documents\Settings\bot.dll');
DeleteFile('C:\WINDOWS\system32\kernelwind32.exe');
DeleteFile('C:\WINDOWS\system32\spoolsvv.exe');
DeleteFile('C:\WINDOWS\system32\vedxg6ame4.exe');
DeleteFile('C:\WINDOWS\svchost.exe');
DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
BC_ImportDeletedList;
BC_DeleteSvc('runtime2');
BC_DeleteSvc('ip6fw');
BC_DeleteFile('C:\WINDOWS\system32\drivers\runtime2.sys');
BC_DeleteFile('C:\WINDOWS\system32\drivers\ip6fw.sys');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
5. Пришлите карантин согласно приложению 3 правил.
6. Сделайте новые логи.
[quote=PavelA;120154]Сразу куча вопросов: Почему в Safe Mode логи сделаны? Восстановление отключено? :( :(
Значит так, отключаем "Восстановление системы". Делаем логи в норм. режиме, перед этим очистив папку карантина AVZ.
З.Ы.
Про Антивирусы и фаерваллы в Одессе не знают тоже. :( Извини, если про город обшибся.[/quote]
я не могу нормально работать в норм режиме, даже печатать - буквы появляются через 1-2 мин после их набора, все программы загружаются (если таки загружаются) мин через 5-6... фигня какая-то.
в безопасном режиме логи нельзя вобще?
з.ы. фаерволл стоит, но родной виндовский. и был НОД32, но временно пришлось убрать, вот за это время пока нет и наловилось..((( просто еще доступ к машине не один я имею (но отвечаю я за него), поэтому за всеми следить не могу....
з.ы. с Одессы :)
[size="1"][color="#666686"][B]Добавлено через 2 минуты[/B][/color][/size]
скрипты сейчас попробую прописать, если в норм режиме запустится АВЗ. А вот как сделать "Очистите временные файлы IE" - не знаю, нопишите, плз, подробно, если можно...
для IE: Сервис - Св-ва обозревателя -- Временные файлы Интернет
Off: Вылечил ноут клиенту. Поставил Antivir + Comodo Firewall.
Вчера приходит: набор зловредов примерно твой после того как дочка в чате посидела. Что видим: Фаервалл в состоянии Allow All (заходите и берите все), еще зачем-то стоит AVG с необновляемыми базами.
@Bratez Карантин очень здоровый будет. Там много чего из System Restore закачано.
карантин выслал, сейчас вышлю новые логи...
после всех действ высылаю новые логи.
да, еще обнаружил, что при нажатии Контрл-Альт-Дел не запускаетя диспетчер задач - пишет "диспетчер задач отключен администратором", но я вроде ничего подобного вручную не делал... не может это быть последствием какого-нибудь зверя???
[URL]http://windowsxp.mvps.org/Taskmanager_error.htm[/URL]
вот здесь нашел способы устарнения этого (в частности думаю применить способ удаления реестра из HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies\ System), но пока без вашего совета не хочу этого делать...
Выполните скрипт:
[code]
begin
SetAVZGuardStatus(true);
DeleteFile('C:\Documents and Settings\Матухно\Local Settings\Temp\*.*');
DelWinlogonNotifyByFileName('bot.dll');
ExecuteSysclean;
ExecuteRepair(11);
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Сделайте логи в нормальном режиме.
[B]punk_prankster[/B], На будущее, уже после лечения заведи пользователя с ограниченными правами и пусть все остальные через него работают. Мысль эта не новая ;) пришла через 10 минут после выхода с работы.
после всех скриптов сделал новые логи. во время скана АВЗ в тле плиска пишет что некий файл 750718.exe подозрение на Rootkit.Win32.Agent.ey...
Выполнить скрипт, после перезагрузки прислать карантин.
[CODE]begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('yes.exe','');
QuarantineFile('C:\Program Files\Common Files\winctl.dll','');
BC_DeleteFile('C:\Program Files\Common Files\winctl.dll');
BC_DeleteFile('C:\Documents and Settings\Матухно\Local Settings\Temp\750718.exe');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.[/CODE]
Профиксить в HijackThis
[CODE]O20 - Winlogon Notify: botreg - C:\Documents and Settings\All Users\Documents\Settings\bot.dll (file missing)
[/CODE]
Сделать новые логи.
карантин отправил, сделал логи.
C:\Program Files\Common Files\winctl.dll - downloader (Symantec)
Профиксить в hijackthis:
[CODE]
O21 - SSODL: WinCTL - {009541A0-3B00-1F1C-00F3-040224009C02} - C:\Program Files\Common Files\winctl.dll (file missing)[/CODE]
Что за программа в "Автозапуске" ALCalendar? В карантин не попала.
В остальном - чисто. См. сообщение №10, как лучше работать.
Директорию с карантинами AVZ можно почисть.