высылаю только 1 скрипт при выполнении второго комп выпадает в синий экран
высылаю только 1 скрипт при выполнении второго комп выпадает в синий экран
HijackThis
Начнем вот с этого:
[CODE]begin
RegKeyIntParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Hardware Profiles\0001\System\CurrentControlSet\Enum\ROOT\LEGACY_Fop56\0000', 'CSConfigFlags', '1');
BC_QrFile('\??\C:\WINDOWS\System32\drivers\Fop56.sys');
BC_DeleteSvc('Fop56');
BC_DeleteFile('\??\C:\WINDOWS\System32\drivers\Fop56.sys');
BC_LogFile(GetAVZDirectory + 'boot_clr.log');
BC_Activate;
RebootWindows(true);
end.[/CODE]
boot_clr.log - прислать.
Затем второй:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\i386kd.exe','');
RebootWindows(true);
end.[/CODE]
Карантин загрузить.
после первого скрипта комп не грузится синий экран IO1_INITIALIZATION_FAILED
загружайтесь - последнюю удачную конфигурацию ....
Файл сохранён как080305_022832_2008-03-05_47ce59b045d05.zipРазмер файла4390MD598d2828f1701fa4fcf4046ead8cf67d9
первый скрипт не выполнял больше. второй прошёл,выпал в синий экран но загрузился нормально
Что-то ты не тот карантин загрузил, или пробовал ранее предложенными скриптами лечиться.
Лучшее враг хорошего. Решил ускорить процесс удалил фаил из первого скрипта и удалил его с автозагрузки.Теперь винда загружается в окно приветствия ,при нажатии на пользователя происходит процесс закрытия сессии и опять окно приветствия. Предыдущая конфигурация не помогла .Восстанавливаю систему.(((
вот 2 скрипта
[b]Отключите восстановление системы![/b]
Выполните скрипт в AVZ:
[code]
begin
BC_DeleteSvc('Fop56');
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Рекомендуется отключить все что вам не нужно из этого списка:
[code]
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
[/code]
Сделайте лог syscheck для контроля.
ещё не отключал.
Вы так и не отключили восстановление системы. Там вполне могут оставаться копии ваших зловредов. Отключите, чтобы все контрольные точки очистились, потом можете включить обратно.
В логах больше ничего плохого нет.
спасибо, ща готовлю логи на 3-ю машину, те же симптомы. Ради интереса проверил KIS-ом пару троянов нашёл
"удалено: вирус Trojan.Generic (модификация) Файл: C:\WINDOWS\system32\svchost.exe:ext.exe//PE_Patch.UPX
удалено: вирус Trojan.Generic (модификация) Файл: C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\EJOTUT8B\8020zh[1].exe//PE_Patch.UPX
удалено: троянская программа Trojan.Win32.Srizbi.i Файл: C:\WINDOWS\system32\drivers\Namd34.sys
,но в инет машина по прежнему ломится
Делай логи. Надо снова смотреть.
Павел, если не ошибаюсь, в сообщении #13 речь о третьем ПК, его мы лечим в этой теме: [url]http://virusinfo.info/showthread.php?t=19232[/url]
@AlexKlo
Если это так как сказал Bratez, то отбой.
Хотя из восстановления мог кто-нибудь выскочить.