need help - босс убьет

Здравствуйте уважаемые эксперты virus info.

Такая проблема, пока начальник в отпуске решил почистить его ноут. Обнаружился вирус email-worm.scano.ai в файле директории windows - csrss. Не лечился, не удалялся. Нашел ваш сайт, скачал AVZ. Но дурак, решил проблему решить, така сказать своими руками. Написал стандартный скрипт -
[CODE]
begin
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\csrss.exe','');
DeleteFile('C:\WINDOWS\csrss.exe');
ExecuteSysClean;
RebootWindows(true);
end.
[/CODE]

И все хана, после перезагрузки запускается пустой рабочий стол и все. Думаю попробывать зайти в безопасный режим?

p.s. Sorry, что не по форме.

В нормальном режиме диспетчер задач запускается? (по Ctrl+Alt+Del)
Если да, то запустите с помощью диспетчера АВЗ, и выполните [URL="http://virusinfo.info/showthread.php?t=1235"]правила[/URL].

Да, диспетчер задач запускается. Нелбзя ли пожалуйста по подробнее насчет запуска AB3?

[size="1"][color="#666686"][B]Добавлено через 6 минут[/B][/color][/size]
Разъясните пожалуйста, что значит запустить AB3?

В диспетчере задач меню "Файл"->"Новая задача (Выполнить...)"
Откроется окно "Новая задача"
Далее жмём "Обзор", находим АВЗ, выбираем его, жмём ОК и т.д.

Не будете ли вы так добры и подсказать мне в какой папке хотя бы я должен найти этот AB3? Папок очень много в windows на первый взгляд нет такого. Подскажите пожалуйста.

АВЗ=AVZ
[quote=masterlogistik;120256]Нашел ваш сайт, скачал AVZ. [/quote]
Вы его куда-то сохранили, там он и найдётся.

Догадался побродить по жесткому диску, директориям из диспетчера задач.(раньше не знал, что так можно)). Запустил AVZ, восстановил из карантина этот злополучный файл csrss обратно в windows, и после перезагрузки все запустилось.
Пока ноут занят, в ожидании и отправлении почты. Делал скан вчера нодом с последними база, он обнаружил только этот инфицированный файл. cureIt тоже. Чуть позже отправлю вам этот файл в архиве.
Весь скан по вашим правилам займет оч_ много времени порядка >часа.

Для ускорения можно сделать доп. лог. См. в разделе "Чаво"
Его сделаешь в защищ. режиме. Как туда зайти - есть инструкция в том же разделе.
Плюс лог hijackthis.

Итак решил не заморачиваться; сделал все по вашим правилам.

Ловите логи пожалуйста и собстно сам вирус-файл из карантина.
P.s. только напишите пожалуйста потом, что я в начале сделал не правильно и почему комп не загружался до конца после удаления csrss файла? Думаю наверно нужно удалить где-то строчку на загрузку этого файла, иначе файл при загрузке не найден и - простой системы; так? или не совсем? ; )

p.p.s. Заранее огромное вам спасибо и Респект!

С уважением Роман.

Выполнить скрипт:
[CODE]begin
ExecuteRepair(9);
end.[/CODE]

Профиксить:
[CODE]R3 - URLSearchHook: MraSearch Class - {30DA811B-BCBF-4aa7-B5E3-CEE0E03EF2B2} - C:\WINDOWS\SYSTEM\mraSearch.dll (file missing)
O2 - BHO: SpyBHO Class - {84695FD5-A8A8-11D8-978E-005022E14DE2} - C:\WINDOWS\system32\ccrarlil.dll (file missing)[/CODE]

банироут какой-то; так лучше??!

[size="1"][color="#666686"][B]Добавлено через 1 минуту[/B][/color][/size]
УДАЛИЛ!

После выполнения логов - опять одна картинка раб. стола? ;)
Выполните скрипт:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\3mvx.dll','');
QuarantineFile('C:\WINDOWS\system32\ccrarlil.dll','');
BC_ImportQuarantineList;
BC_Activate;
ExecuteRepair(9);
RebootWindows(true);
end.[/code]
После перезагрузки рабочий стол должен запуститься.
Пришлите карантин по правилам.

Спс; то есть получается, что эпицентр вируса именно в папке system32 в файлах - 3mvx.dll и ccrarlil.dll?

[quote=masterlogistik;120365]Спс; то есть получается, что эпицентр вируса именно в папке system32 в файлах - 3mvx.dll и ccrarlil.dll?[/quote]
Таки нет. Это попутно проверить надо. Карантинчик не забыли послать?

Вот ваш главный обидчик:
[QUOTE]C:\WINDOWS\csrss.exe >>>>> Email-Worm.Win32.Scano.ai успешно удален[/QUOTE]

А вот причина неоткрываемости рабочего стола:
[QUOTE]Опасно - отладчик процесса "explorer.exe" = "C:\WINDOWS\csrss.exe"[/QUOTE]

Ловите вирус файл пожалуйста.

А нету :(
Через [URL="http://virusinfo.info/upload_virus.php?tid=10814"]эту страничку [/URL]загрузите.

Ура, все получилось.
Действительно в логе hijack'a были сноски на не существующие файлы - пофиксил.

[quote]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\3mvx.dll','');
QuarantineFile('C:\WINDOWS\system32\ccrarlil.dll','');
BC_ImportQuarantineList;
BC_Activate;
ExecuteRepair(9);
RebootWindows(true);
end.
[/quote] - не стал делать то, что написал [URL="http://javascript<b></b>:insertNick('Bratez', '120363');"][COLOR=brown]Bratez[/COLOR][/URL]; ибо это не совсем верно, зачем карантинить файлы, кот. нету?! ; )

сделал так -

[quote]
begin
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\csrss.exe','');
DeleteFile('C:\WINDOWS\csrss.exe');
ExecuteSysClean;
ExecuteRepair(9);
RebootWindows(true);
end.
[/quote]

[URL="http://javascript<b></b>:insertNick('PavelA', '120360');"][COLOR=brown]PavelA[/COLOR][/URL] - все дельно написал! (просто я бы сам все сделал, если б знал об исправлении №9 ; ) и повнимательнее изучил бы лог hijack'a)

p.s. ОТДЕЛЬНОЕ СПАСИБО ОЛЕГУ ЗАЙЦЕВУ - ПРОГРАММА AVZ ПО ФУНКЦИОНАЛЬНОСТИ И ВОЗМОЖНОСТЯМ НЕ ИМЕЕТ АНАЛОГОВ!! ZA BEST! ТАК ДЕРЖАТЬ!!

p.p.s. ну и на всякий случай кидаю вам тот самый csrss 8))

p.p.p.s.надеюсь прикрепится в этот раз. А [COLOR=blue][B]drongo[/B][/COLOR] - очень странный, зачем то написал мне предупреждение?? причины не было! ЗАБАНИШЬ - НА ТВОЕЙ СОВЕСТИ!

Забанит и будет трижды прав. [COLOR=Red]Низя выкладывать вирусы сюда, пусть даже переименованные, пусть даже с паролем.[/COLOR]

[QUOTE]сделал так - [/QUOTE]
а зачем? csrss.exe был прибит еще при создании логов.

Опять карантин в тему прилепил - сказали же как его посылать!

Ну а если 3mvx.dll окажется трояном - извиняй, выколупывай как знаешь.

[QUOTE] зачем? csrss.exe был прибит еще при создании логов.[/QUOTE]

извиняй не был прибит - тему внимательнее читай, я же его восстанавливал!!

[QUOTE]Опять карантин в тему прилепил - сказали же как его посылать!
[/QUOTE]

а куда прикреплять карантин банироут млин, уж не изволишь ли ты мне подсказать?

[QUOTE]Ну а если 3mvx.dll окажется трояном - извиняй, выколупывай как знаешь.[/QUOTE]

- файла такого не существует!(только упоминание, что hijack и написал ; ) )