Помогите

Printable View

23.05.2008, 13:42
lop

Помогите

Не запускается Сureit, то есть заставка появляется, а окна проверки нет. Перед этим весь рабочий стол у пользователя был забит сообщениями от Сумантека, количество которых непрерывно росло. С другого лог. диска загрузил другую ХТ, запустил Сureit, вроде проверился оттуда, но загружаюсь на прежнюю - Сureit опять не идёт.

Перед этим у пользователя весь рабочий стол был забит диагностическими сообщениями от Симантека. Куреитом проверил из ХР, запущенной с другого лог. диска, он нашёл несколько троянов, но загружая ХР с нужного диска опять не могу запустить Cureit.
23.05.2008, 13:54
SDA

[url]http://virusinfo.info/showthread.php?t=1235[/url]
23.05.2008, 13:54
Rene-gad

выполните правила не запуская Доктора. [url]http://virusinfo.info/showthread.php?t=1235[/url]
23.05.2008, 14:13
lop

Пытался,

но почему-то файлы логов не прикрепляются

[size="1"][color="#666686"][B][I]Добавлено через 13 минут[/I][/B][/color][/size]

пробую прикрепить логи.....
Вроде файлы загрузил, но...
в предварительном просмотре сообщения их всё равно не видно, что делать?
23.05.2008, 14:32
Bratez

Можно выложить логи на файлообменник, например ifolder.ru, а сюда дать ссылку (лучше одним архивом).
23.05.2008, 15:01
lop

С другого компа похоже тоже не получается.
Вот здесь лежит [url]http://ifolder.ru/6684649[/url]
23.05.2008, 15:10
Bratez

[b]Отключите восстановление системы![/b]
Пофиксите в HijackThis:
[code]
F2 - REG:system.ini: UserInit=E:\WINDOWS\system32\userinit.exe,E:\WINDOWS\system32\ntos.exe,
O4 - HKLM\..\Run: [ntuser] E:\WINDOWS\system32\drivers\spools.exe
O4 - HKLM\..\Run: [runwinlogon] E:\WINDOWS\winlogon.exe
O4 - HKLM\..\Run: [autoload] E:\Documents and Settings\PSG3\cftmon.exe
O4 - HKCU\..\Run: [ntuser] E:\WINDOWS\system32\drivers\spools.exe
O4 - HKCU\..\Run: [autoload] E:\Documents and Settings\PSG3\cftmon.exe
[/code]
Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('E:\WINDOWS\system32\ntos.exe','');
QuarantineFile('E:\Documents and Settings\LocalService\cftmon.exe','');
QuarantineFile('E:\WINDOWS\system32\drivers\spools.exe','');
QuarantineFile('E:\WINDOWS\winlogon.exe','');
QuarantineFile('E:\Documents and Settings\PSG3\cftmon.exe','');
DeleteFile('E:\Documents and Settings\PSG3\cftmon.exe');
DeleteFile('E:\WINDOWS\winlogon.exe');
DeleteFile('E:\WINDOWS\system32\drivers\spools.exe');
DeleteFile('E:\Documents and Settings\LocalService\cftmon.exe');
DeleteFile('E:\WINDOWS\system32\ntos.exe');
BC_ImportALL;
BC_DeleteSvc('Schedule');
BC_DeleteSvc('FCI');
BC_DeleteSvc('CcEvtSvc');
ExecuteSysClean;
ExecuteRepair(1);
ExecuteRepair(13);
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: [url]http://virusinfo.info/upload_virus.php?tid=23283[/url]).
Сделайте новые логи.
23.05.2008, 16:21
lop

Сделано

кроме фиксы winlogon'a - небыло пункта в HJ.
23.05.2008, 16:30
Bratez

Больше ничего подозрительного.
Какие-то проблемы остались?
23.05.2008, 16:51
lop

Большое спасибо!

Всё вроде работает.