Printable View
1. даже в сейф режиме не грузяться антивири, HijackThis spywaredoctor и пр.
2. Пришибить процесс subj после двух дней борьбы не удается - не стиранием зараженных файлов, которые все время разные (user32.dat, bolenjx.exe blh.) не чистой реестра; всё в safe mode
3. avd работает после переименования ехе и папки - логи по инструкции приаттачил
4. Помогите, все перепробовали, закавыка какая-то
выполните скрипт ...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('kus552.dat','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Beep.SYS','');
QuarantineFile('C:\WINDOWS\system32\users32.dat','');
QuarantineFile('c:\windows\system32\bolenjx.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\KCOM.SYS','');
DeleteFile('C:\WINDOWS\system32\drivers\KCOM.SYS');
DeleteFile('c:\windows\system32\bolenjx.exe');
DeleteFile('C:\WINDOWS\system32\users32.dat');
DeleteFile('kus552.dat');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил ...
повторите логи ...
1. выполнил скрипт
1a после рестарта онлайн трендмикро офисскан находит тоже самое
2 все присоеденил и отослал
C:\WINDOWS\system32\users32.dat [B]not-a-virus:AdWare.Win32.Agent.zo[/B]
c:\windows\system32\bolenjx.exe [B]Trojan.Dropper[/B]
C:\WINDOWS\System32\Drivers\Beep.SYS [B]Generic.Malware.P!.46410F49[/B]
отключите все защитные программы
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('kus552.dat','');
BC_DeleteFile('C:\WINDOWS\System32\Drivers\Beep.SYS');
DeleteFile('C:\WINDOWS\system32\kus552.dat');
DeleteFile('C:\WINDOWS\kus552.dat');
DeleteFile('c:\windows\system32\bolenjx.exe');
DeleteFile('C:\WINDOWS\system32\users32.dat');
DeleteFile('kus552.dat');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
повторите логи ...
virus.zip - прикреплять к теме нельзя - удалите ... это карантин .... его отсылают согласно приложения 3 по ссылке над темой ..
В скрипте ошибка
Too many actual parameters в позиции 5:15:sad:
поправил ...
где новый скрипт ?
[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]
въехал - там же где и старый
новые логи после скрипта
[COLOR=black]HiJackThis заработал[/COLOR]
[COLOR=black]лог с него прикрепил[/COLOR]
В логах чисто.
Посмотрите, что из этого нужно:
[code]
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Remote Registry)
>> Службы: разрешена потенциально опасная служба TermService (Terminal Services)
>> Службы: разрешена потенциально опасная служба SSDPSRV (SSDP Discovery Service)
>> Службы: разрешена потенциально опасная служба Schedule (Task Scheduler)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Remote Desktop Help Session Manager)
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
[/code]
Лишнее отключим.
всем спасибо
лишнее сами отключим - тут все понятно
комп чистый
до скорых встеч ;)