Добрый день. Опять Аваст червя пропустил. В итоге интернета нет как нет. Кроме того CPU загружен на 50-70% это без ничего. Сам Аваст похоже поврежден как и файрволл от Windows
Printable View
Добрый день. Опять Аваст червя пропустил. В итоге интернета нет как нет. Кроме того CPU загружен на 50-70% это без ничего. Сам Аваст похоже поврежден как и файрволл от Windows
Cure-It проверялись?
Нет. Его на компе нет. А скачать не получилось ИЕ не работает. Пишу с соседнего
На соседнем скачай, запиши на СД/флешку и проверься.
Есть подозрение на файловый вирус.
Рискну- он не проверен. По окончании как я понял - опять логи?
Да. И еще лог Cure-It
Логи + лог Cure-It
Куреитом весь диск проверяли? Или только экспресс-проверкой?
Кстати, на компьютере был ПИНЧ. Надо менять пароли.
Наборчик зверья шикарный. :)
"восст системы" почему не отключено? Там тоже кое-чего нашлось.
Выполнить скрипт:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\avpo.exe','');
BC_DeleteFile('C:\WINDOWS\system32\avpo.exe');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.[/CODE]
Загрузить карантин через ссылку вверху темы.
Проверил куреитом все! Восстановление системы перед АВЗ отключил. А вот что такое ПИНЧ мне пока неизвестно....
Карантин пошел.........
ПИНЧ - ворователь паролей от всего (почта,аська,вебмани, и пр.)
В логе AVZ написано, что "Восст" включено.
[size="1"][color="#666686"][B][I]Добавлено через 4 минуты[/I][/B][/color][/size]
ntde1ect.com - вот такой файл надо поискать через AVZ.
Есть надежда, правда, что Куреит его убил, но все же надо провериться.
C:\autorun.inf - удалить, если еще остался.
Да было включено-странно...Выключил
Значит буду менять пароли - только бы интернет пустить, а то запарился бегать от компа к компу
C:\WINDOWS\system32\avpo.exe - Packed.Win32.NSAnti.r (по Касперскому)
Доктор его не знает.
Теперь по идее Аваст должен ожить.
ntde1ect.com - АВЗ не находит
C:\autorun.inf - находит: как его удалить то?
У Аваста 2 из 7ми провайдеров не работают (Веб Экран и Оутлук)
У Винды по прежнему блокирован файрволл
'C:\WINDOWS\system32\avpo0.dll' - точно такой же
Продолжаем:
[CODE]begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('\??\C:\WINDOWS\system32\wincab.sys','');
DeleteFile('C:\WINDOWS\system32\avpo0.dll');
DeleteFile('C:\autorun.inf');
BC_DeleteFile('C:\WINDOWS\system32\avpo0.dll');
DeleteFile('\??\C:\WINDOWS\system32\wincab.sys');
BC_DeleteFile('\??\C:\WINDOWS\system32\wincab.sys');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
Прислать новый карантин.
сделать новые логи.
Послал новый карантин
Новые логи
Все ли ок?
Не-а. На удивление в логах присутствуют все те, которых мы удаляли.
Выполнить в защищенном режиме (Safe Mode):
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\avpo0.dll');
DeleteFile('C:\autorun.inf');
BC_DeleteFile('C:\WINDOWS\system32\avpo0.dll');
DeleteFile('C:\WINDOWS\system32\wincab.sys');
BC_DeleteFile('C:\WINDOWS\system32\wincab.sys');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
Сделать лог из п.8 Правил.
В Safe Mode сделал. После этого сканирование прерывается на 30% и пишет:
Access violation at address 00402254 in module `avz.exe`. Write of address 4643535D
Сделай вот такой лог в безопасном [url]http://virusinfo.info/showthread.php?t=10387[/url]