Printable View
ПОМОЩЬ НУЖНА!!!
После очистки от троянов.
Появились проблемы.
1 Изменился вид окна востановление системы.
2 Не возможно вернуться к предыдущему состоянию системы. Новые точки создаются.
3 Не могу войти за обновлениями на сайт, появляются сообщения что не запущены службы.Но службы запущены!!! Поиск обновлений, в режиме настроек для администратора проходит.
С уважением Александр
[url]http://virusinfo.info/showthread.php?t=1235[/url]
Спасибо! но я спрашивал не чем, а как!
Гадалки в отпуске - будут логи - будет предметный разговор.
В процессе работы по очистке сохранял все возможные файлы.
Отправляю.
Сейчас снова следую всем инструкциям по сбору информации, по окончании работы утилиты отошлю
[QUOTE=AlexSadko;211343]В процессе работы по очистке сохранял все возможные файлы.[/QUOTE]мы очень ценим Ваш трудовой энтузиазм, но нам нужны [COLOR="red"][B]3 лога по правилам - ни больше, ни меньше.[/B][/COLOR], как у Пушкина: [B]Три карты, три карты...[/B]
1. Выполните скрипт:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\drivers\spools.exe','');
QuarantineFile('C:\Documents and Settings\LocalService\Local Settings\Application Data\f','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\tcpip.sys','');
DeleteFile('C:\Documents and Settings\LocalService\Local Settings\Application Data\f');
DeleteFile('C:\WINDOWS\system32\drivers\spools.exe');
ExecuteSysClean;
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.[/CODE]
2. Карантин по правилам.
3. На будущее, логи по правилам делаются не так!
это не те файлы!
перечитайте правила.
Согласно инструкциям получил ЛОГИ отправляю.
[quote=Rene-gad;211344]мы очень ценим Ваш трудовой энтузиазм, но нам нужны [COLOR=red][B]3 лога по правилам - ни больше, ни меньше.[/B][/COLOR], как у Пушкина: [B]Три карты, три карты...[/B][/quote]
Спасибо за ссылочку!
Восстановление системы: включено \ отключить ...
выполните скрипт ...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
BC_DeleteSvc('Schedule');
QuarantineFile('C:\WINDOWS\system32\drivers\spools.exe','');
DeleteFile('C:\WINDOWS\system32\drivers\spools.exe');
DeleteFile('C:\Documents and Settings\LocalService\Local Settings\Application Data\f');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
повторите логи ...
В процессе выполнения скрипта Нортон сообщил о трояне после чего машина ушла в перезагрузку.
Сейчас нортон не запускается(виснет)хочу посмотреть лог о типе трояна.
[size="1"][color="#666686"][B][I]Добавлено через 3 минуты[/I][/B][/color][/size]
Нашёл троян
нортон опознал его как "Trojan Horse"
[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]
В папке Drivers
[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]
После выполнения скрипта видовс. по прежнему не требует пароля
Вы всё равно не читаете инструкции, зачем удивляться ?
virusinfo_cure.zip нельзя прикреплять !!!
антивирус следует отключать перед исполнением скриптов.
Да согласен не внимателен!
Но лишний файл если он лишний можно просто не смотреть!?
[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]
Нортон после проверки дисков больше ничего не нашёл.
Вопрос, можно ли ещё раз запустить AVZ для выполнения скриптов.
НУЖНО, но только по правилам..
При загрузке системы.
1. Снова вход без пароля, может где есть какая опция есть для вкдючения\отключения, такого режима.
2. При загрузке монитора нортона, снова нашёл "Trojan Horse".
3. При осмотре нортоном с максимальными настройками снова ничего, но при осмотре папок "C:\Documents and Settings\%пользователь%\Local Settings\Application Data во всех учетных записях находится файл, с именем "f" размером около 200 кб, размер немного отличается от папки к папке", на котором нортон задумывается на несколько секунд.
4. Автозагрузка на эти файлы прописана в реестре.
5. Посмотрел логи штатного брандмайера, процес с этим именем ломился в инет по 80 порту.
6. выгрузил все проги
7. запуск AVZ c AVZGuard.
1. HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
AutoAdminLogon поставте 0
2. авз поиск файлов на диске файл, с именем "f" ... прислать согласно приложения 3 правил ...
3. новый комплект логов
[quote=AlexSadko;211412]При загрузке системы.
1. Снова вход без пароля, может где есть какая опция есть для вкдючения\отключения, такого режима.
2. При загрузке монитора нортона, снова нашёл "Trojan Horse".
3. При осмотре нортоном с максимальными настройками снова ничего, но при осмотре папок "C:\Documents and Settings\%пользователь%\Local Settings\Application Data во всех учетных записях находится файл, с именем "f" размером около 200 кб, размер немного отличается от папки к папке", на котором нортон задумывается на несколько секунд.
4. Автозагрузка на эти файлы прописана в реестре.
5. Посмотрел логи штатного брандмайера, процес с этим именем ломился в инет по 80 порту.
6. выгрузил все проги
7. запуск AVZ c AVZGuard.[/quote]
8. Новый комплект. логов!
9. Из спящего режима выход сопровождается запросом пароля.
При перезагрузке нет.
Флаг установил.
Выполните в АВЗ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('D:\System Volume Information\_restore{EE1BAC63-149F-40F6-9DC8-89487019435F}\RP4\A0000373.exe','');
DeleteFile('D:\System Volume Information\_restore{EE1BAC63-149F-40F6-9DC8-89487019435F}\RP4\A0000373.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Загрузите карантин согласно приложения 3 правил.
Повторите логи.