Вот таккая беда, безопасный режимм не хочет запускать , и на локальные диски не пускает, хиджак отказываеться работать
вот логи:
Printable View
Вот таккая беда, безопасный режимм не хочет запускать , и на локальные диски не пускает, хиджак отказываеться работать
вот логи:
Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\service.exe','');
QuarantineFile('C:\WINDOWS\system32\browse.dll','');
QuarantineFile('C:\Program Files\Common Files\System\cjqqsol.exe','');
QuarantineFile('C:\Program Files\Common Files\Microsoft Shared\ivsgiih.exe','');
DeleteFile('C:\WINDOWS\system32\service.exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил.
[size="1"][color="#666686"][B][I]Добавлено через 10 минут[/I][/B][/color][/size]
Затем выполните такой скрипт:
[code]
begin
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\ounddyh.exe','');
DeleteFile('C:\ounddyh.exe');
DeleteFile('D:\ounddyh.exe');
DeleteFile('E:\ounddyh.exe');
DeleteFile('F:\ounddyh.exe');
DeleteFile('G:\ounddyh.exe');
DeleteFile('C:\autorun.inf');
DeleteFile('D:\autorun.inf');
DeleteFile('E:\autorun.inf');
DeleteFile('F:\autorun.inf');
DeleteFile('G:\autorun.inf');
ExecuteSysClean;
RebootWindows(true);
end.[/code]
После перезагрузки проделайте процедуру, описанную здесь:
[url]http://virusinfo.info/showthread.php?t=8877[/url]
hijackthis|cureIT - отказывается запускаться установка.
безопасный режим не включается (при загрузке винды/драйверов(?) происходит перезагрузка)
скрытые файлы увидеть без тоталкоммандера не представляется возможным (настройки проверены и перепроверены - меняешь жмешь принять/ок - сбрасываются назад)
[ATTACH]24463[/ATTACH]
[ATTACH]24464[/ATTACH]
А скрипты выполнились?
Давайте хотя бы повторные логи AVZ
выполните такой скрипт...
[code]
begin
ExecuteRepair(1);
ExecuteRepair(12);
ExecuteRepair(6);
ExecuteRepair(8);
ExecuteRepair(9);
ExecuteRepair(16);
RebootWindows(true);
end.
[/code]
затем повторите логи ...
скрытые файлы увидел. спс
nod по прежнему капризничает. картинка ниже
безопасный режим по прежнему не хочет работать
выполните скрипт...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
BC_QrFile('C:\WINDOWS\system32\drivers\iuctkjig.dat');
BC_DeleteFile('C:\WINDOWS\system32\drivers\iuctkjig.dat');
BC_DeleteSvc('jbqqmxxh');
ExecuteRepair(10);
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил ...
повторите логи...
так вирус закачал как в п3 надеюсь правильно
вот результаты праверки
еще раз выполните мой скрипт .... я его подправил ....
так вот праверка и ща вирус залью па п3
враг жив ... попробуйте зайти в безопастный режим(должно получиться ) и выполнить скрипт ....
я же уже писал что безопасный режим не включается(
ЗЫ iuctkjig.dat - враг?
сейчас вы пробовали зайти в безопастный ?
1. отключить антивирус
2.выполните скрипт...avz
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\drivers\iuctkjig.dat','');
QuarantineFile('C:\WINDOWS\system32\KERNEL1.EXE','');
QuarantineFile('C:\WINDOWS\system32\browse.dll','');
StopService('jbqqmxxh');
StopService('browse');
DeleteFile('C:\WINDOWS\system32\KERNEL1.EXE');
DeleteFile('C:\WINDOWS\system32\drivers\iuctkjig.dat');
DeleteFile('C:\WINDOWS\system32\browse.dll');
BC_DeleteSvc('jbqqmxxh');
DelCLSID('82D1764B-CD54-4233-8670-453DC559301C ');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(1);
ExecuteRepair(6);
ExecuteRepair(9);
ExecuteRepair(10);
ExecuteRepair(12);
RebootWindows(true);
end.[/code]
to V_Bond
приношу свои извинения( безопасный действительно заработал. спасибо. сделал ваш скрит в безопасном затем скрипт drongo в обычном. вот логи и карантин
ЗЫ еще сегодня после одно из ребутов произошло вот что... при ответах на сообщения не могу нажать кнопки из серии шрифты/размеры/смайлы/нумерованный список и все остальные тоже.. при наведении на них они должны как бы выделяться чего не происходит теперь.. также не могу прикреплять файлы (делаю это сейчас с компьтера друга). пожалуй это единственный симптом, оставшийся от вируса (видимый невооруженным взглядом)ЗЫЫ на будущее... какой антивирус использовать чтобы не попала эта хрень ко мне еще раз... вебер стоял но как то не заметил и пропустил =\
Попробуйте теперь запустить hijackthis и сделать его лог.
если не выйдет вот инструкция : [url]http://virusinfo.info/showthread.php?t=12591[/url]
интернет експлорер какой версии ?
Через firefox пробовали?
Что из этого активно используется ? [code]
Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику[/code]Остальное отключим.
P.S.
не забудьте свежий карантин загрузить, то что в моём скрипте писалось...(попробуйте через firefox)
Насчёт антивируса- мне больше нравиться касперский- каждому своё ;) Последний дрвеб тоже нормальный выбор, главнее не работать под админом в инете - тогда такая гадость как у вас была не сможет установиться даже если антивирус её не знает.
IE: при нажатии справка-о программе в поле версия ничего не стоит и кнопка ОК не нажимается =\ раньше вроде все норм было =\ версия думается 6... 2004 года винда+обновления не коснувшиеся IE
"Что из этого активно используется ? " - я хз(
firefox - браузер такой? лучше не надо( IE пусть остается"
hijackthis переименован в 777.exe
скрипт и логи сделал только что:
пофиксите ...
[code]
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe
[/code]
больше ничего зловредного не видно ...
[QUOTE]версия думается 6... 2004 года винда+обновления не коснувшиеся IE ....IE пусть остается
[/QUOTE]
вот єто главная дырища .... в вашей системе ... настоятельно не рекомендую использовать ...
при полном отсутствии антивируса и фаервола ....
насчет служб ... машина домашняя ? локалка есть ?
Пофиксите в HijackThis:
[code]
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
[/code]
Выполните такой скрипт для отключения ненужного:
[code]
begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
SetServiceStart('RDSessMgr', 4);
SetServiceStart('mnmsrvc', 4);
SetServiceStart('Schedule', 4);
SetServiceStart('SSDPSRV', 4);
SetServiceStart('TermService', 4);
SetServiceStart('RemoteRegistry', 4);
RebootWindows(true);
end.[/code]
(Автозапуск CD и анонима для локалки оставил).
to Bratez
пофиксил и выполнил скрипт.
машина домашняя. локалка есть. юзер один.
ЗЫ кнопачки так и не заработали - вложения до сих пор не могу делать( настройки я сам не менял точно(