Знающий человек нашел руткит и он никак не может его побороть.
Помогите...
Printable View
Знающий человек нашел руткит и он никак не может его побороть.
Помогите...
-[B]Knopf[/B], вы перепутали [B]virusinfo_syscure.zip[/B] и [B]virusinfo_cure.zip[/B]...
нужно исправить
[url=http://virusinfo.info/showthread.php?t=7239]Выполните скрипт в AVZ[/url]:
[code]begin
QuarantineFile('C:\autorun.inf','');
QuarantineFile('D:\autorun.inf','');
end.[/code]
Пришлите карантин согласно приложению №3 [url=http://virusinfo.info/showthread.php?t=1235]правил[/url] (загружать здесь: [url]http://virusinfo.info/upload_virus.php?tid=25082[/url] ).
Я руткита у Вас не нашел. Если Вы подозреваете sp??.sys, то можете не беспокоится, это от эмулятора дисков. Да, он ведет себя как руткит, перехватывает функции, но он не вредоносный.
[quote=kps;244688][URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]:
[code]begin
QuarantineFile('C:\autorun.inf','');
QuarantineFile('D:\autorun.inf','');
end.[/code]Пришлите карантин согласно приложению №3 [URL="http://virusinfo.info/showthread.php?t=1235"]правил[/URL] (загружать здесь: [URL]http://virusinfo.info/upload_virus.php?tid=25082[/URL] ).
Я руткита у Вас не нашел. Если Вы подозреваете sp??.sys, то можете не беспокоится, это от эмулятора дисков. Да, он ведет себя как руткит, перехватывает функции, но он не вредоносный.[/quote]
-оба авторана запускают некий [B]fun.xls.exe[/B], который по классификации KasperskyLab является Trojan.Win32.VB.atg
-посему, необходимо отыскать и удалить и [B]C:\autorun.inf[/B], и [B]D:\autorun.inf[/B], и [B]fun.xls.exe[/B]
Alex Plutoff, и что теперь делать?? не уж то сносить винду? *плачет*
[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]
[quote=kps;244688][URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]:
[code]begin
QuarantineFile('C:\autorun.inf','');
QuarantineFile('D:\autorun.inf','');
end.[/code]Пришлите карантин согласно приложению №3 [URL="http://virusinfo.info/showthread.php?t=1235"]правил[/URL] (загружать здесь: [URL]http://virusinfo.info/upload_virus.php?tid=25082[/URL] ).
Я руткита у Вас не нашел. Если Вы подозреваете sp??.sys, то можете не беспокоится, это от эмулятора дисков. Да, он ведет себя как руткит, перехватывает функции, но он не вредоносный.[/quote]
Да, Jef239 подзревал его. И что он имя меняет.
[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]
Алекс, C:\autorun.inf, или D:\autorun.inf, запускает iTunes....Когда я скачаиваю музыку на плеер.он у меня открывается...
[QUOTE=Knopf;244716]Да, Jef239 подзревал его. И что он имя меняет.[/QUOTE]
Зря подозревал :) Имя у него меняется - это известно. Если раздражает, то можно удалить эмулятор дисков (в чаcтности sptd.sys), тогда sp??.sys больше не появятся.
[quote=Knopf;244716]Alex Plutoff, и что теперь делать?? не уж то сносить винду? *плачет*
[SIZE=1][COLOR=#666686][B][I]Добавлено через 2 минуты[/I][/B][/COLOR][/SIZE]
Да, Jef239 подзревал его. И что он имя меняет.
[SIZE=1][COLOR=#666686][B][I]Добавлено через 1 минуту[/I][/B][/COLOR][/SIZE]
Алекс, C:\autorun.inf, или D:\autorun.inf, запускает iTunes....Когда я скачаиваю музыку на плеер.он у меня открывается...[/quote]
-ещё раз... оба авторана запускают [B]fun.xls.exe [url]http://www.virustotal.com/ru/analisis/1cfbcd72c77fbe77cbecc093c8baeb01[/url][/B]
-я рекомендую[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\autorun.inf');
DeleteFile('D:\autorun.inf');
DeleteFile('C:\fun.xls.exe');
DeleteFile('D:\fun.xls.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]...после перезагрузки повторите логи
лог не создается, в протоколе - ошибка.
Удалось выполнить скрипт без этих строк:
SearchRootkit(true, true);
SetAVZGuardStatus(True);
Иначе писало :Unable Set Data for Display.
-вы, [URL="http://virusinfo.info/showthread.php?t=1235"]правила[/URL] в точности выполняете?..
[QUOTE=Knopf;244736]лог не создается, в протоколе - ошибка.[/QUOTE]
сделайте заново логи как в вашем первом сообщении ...
QIP не закрываю, для помощи по аське.
[size="1"][color="#666686"][B][I]Добавлено через 32 секунды[/I][/B][/color][/size]
V_Bond, хорошо..сейчас
не удалось отключить восстановление Wndows ибо нет нужной вкладки.
Хм.... не хотят появляться логи.
-это из правил [QUOTE] 2. Перед проверкой желательно скачать [URL="ftp://ftp.drweb.com/pub/drweb/cureit/launch.exe"]утилиту от DrWeb - CureIT![/URL] и проверить систему (имеется ввиду полная проверка всех дисков уже после экспресс проверки по умолчанию, желательно записав перед этим саму утилиту на CD (или другой носитель защищённый от записи) уже из CD запустить утилиту)[URL="http://virusinfo.info/showthread.php?t=9279"]в безопасном режиме[/URL]. ~5 mb После этого следует просто перегрузиться ( обычный режим).[/QUOTE]
-а тут рекомендации от производителя утилиты: [url]http://freedrweb.com/[/url]
Я перезапустилась.Потом запустила 2 скрипт и вот что теперь у меня в логе:
Короче вот что теперь:
Сделала CureIt по 15ому посту.
Так же хотела спросить: 3 BHO без фалов - удалять их или нет.
Наши попытки их удалить не удались.
Не надо самодеятельности. Скажут - тогда и удалите. HijackThis тоже не всегда правильно существование файлов проверяет и раскрутку последовательностей CLSID делает..
в логах ничего плохого ....
выполните такой скрипт ...
[code]
begin
ExecuteRepair(6);
ExecuteRepair(8);
RebootWindows(true);
end.
[/code]