Rootkit вцепился мертвой хваткой в компьютер, и ни сегодняшний cureit, ни хваленый Spybot не могут его победить. Хотя и видят.
Printable View
Rootkit вцепился мертвой хваткой в компьютер, и ни сегодняшний cureit, ни хваленый Spybot не могут его победить. Хотя и видят.
Голая ХР - круто!!! С такой системой можно лечится каждый день.
Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('ati2kaag.dll','');
QuarantineFile('E:\WINDOWS\Temp\startdrv.exe','');
QuarantineFile('E:\WINDOWS\System32\vedxg6ame4.exe','');
QuarantineFile('E:\WINDOWS\System32\svshost.dll','');
QuarantineFile('E:\WINDOWS\System32\ntos.exe','');
DeleteFile('E:\WINDOWS\System32\ntos.exe');
DeleteFile('E:\WINDOWS\System32\svshost.dll');
DeleteFile('E:\WINDOWS\System32\vedxg6ame4.exe');
DeleteFile('E:\WINDOWS\Temp\startdrv.exe');
BC_ImportALL;
BC_QrSvc('secdrv');
BC_QrSvc('runtime2');
BC_QrSvc('aspimgr');
BC_QrSvc('ICF');
BC_DeleteSvc('secdrv');
BC_DeleteSvc('runtime2');
BC_DeleteSvc('aspimgr');
BC_DeleteSvc('ICF');
BC_DeleteFile('E:\WINDOWS\Temp\startdrv.exe');
BC_DeleteFile('E:\WINDOWS\System32\DRIVERS\secdrv.sys');
BC_DeleteFile('E:\WINDOWS\system32\drivers\runtime2.sys');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Пофиксите в HijackThis:
[code]
F2 - REG:system.ini: UserInit=E:\WINDOWS\system32\userinit.exe,E:\WINDOWS\System32\ntos.exe,
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [userinit] E:\WINDOWS\System32\ntos.exe
O4 - HKCU\..\Run: [Service Pack 1] E:\WINDOWS\System32\vedxg6ame4.exe
O20 - Winlogon Notify: ati2kaag - ati2kaag.dll (file missing)
O21 - SSODL: SysRun - {D7FFD784-5276-42D1-887B-00267870A4C7} - E:\WINDOWS\System32\svshost.dll (file missing)
[/code]
Карантин пришлите согласно приложению 3 правил.
Сделайте новые логи.
[quote=PavelA;131769]Голая ХР - круто!!! С такой системой можно лечится каждый день.[/quote]
Всё понимаю и согласен, но беда в том, что поверх XP стоит масса прикладных задач, которых уже не переустановить по-новой (исторически так сложилось).
[QUOTE]поверх XP стоит масса прикладных задач[/QUOTE]
Никакой проблемы в этом нет. Можно:
а) Использовать Windows Update;
б) Найти SP2 в отдельном исполнении и установить;
в) Накатить винду с дистрибутива с интегрированным SP2 поверх вашей в режиме Обновления/Восстановления.
Последний вариант предпочтительнее.
В любом случае прикладной софт, так же как и все пользовательские настройки, нисколько не пострадает.
[QUOTE='Bratez;131783']В любом случае прикладной софт, так же как и все пользовательские настройки, нисколько не пострадает.[/QUOTE]
Я бы так не утверждал, и перед такими действиями обязательно снял бы образ системы, любой предназначенной для этого программой, чтобы в случае каких либо проблем была возможность восстановиться.
Это особенно актуально для таких систем, для которых уже утеряны, либо недоступны дистрибутивы установленных программ.
Забрезжила надежда. :)
Логи после всех процедур:
@Shu_b +1
В установке поверху всегда возможны случаи, когда старые программы перестают работать.
профиксить в Hijackthis:
[CODE]O4 - HKLM\..\Run: [startdrv] E:\WINDOWS\Temp\startdrv.exe[/CODE]
Спасибо, ребята!
Вы делаете очень нужное, полезное и благородное дело!!! :)
интересно на сколько времени лечения хватит ? в среднем часок и уже кого нибудь словишь , если сп2 не поставишь.
[quote=drongo;132041]интересно на сколько времени лечения хватит ? [/quote]
Слепой сказал посмотрим. ;)
Ставить SP2 - дел не на один день. Слишком много невозобновимого софта привязано к системе. Попробую воспользоваться советами, данными свыше. :)
Вариант с установкой отдельно пакета SP2,вам очень подойдёт.
Рекомендую работать под пользователем с ограниченными правами.
По возможности не использовать Internet Explorer,а пользоваться другими браузерам,например Opera,Firefox (с отключенными java скриптами,разрешая их выполнения только доверенным сайтам)
Советуем прочитать [URL="http://security-advisory.newmail.ru/"]электронную книгу[/URL])"Безопасный Интернет. Универсальная защита для Windows ME - Vista".
Вы можете нас отблагодарить,[URL="http://www.virusinfo.info/showthread.php?t=3519"]оказав нам помощь в сборе базы безопасных файлов.[/URL] Мы будем Вам очень благодарны!
Удачи!