Вирусы 22

Printable View

11.01.2009, 13:48
BMW

Вирусы 22

Привет всем !! Ребята возникла маааааааааленькая проблема :) Не могу запустить Виндовоз ни в нормальном режиме , ни в безопасном. Гружусь только через LiveCD. Скачал свежие утилиты AVPTool, Кюрет. Запустил их (не одновременно конечно :)) По Вэбу излечил Sector12 удалил Бакдур ну и еще пару троеф. В итоге 184 файла вылечено. Последующие проверки показывают что машина чиста. На Live CD есть ERD COmander (на анг. языке) Зашел в реестр больной машины убрал все с автозапуска лишнего. Когда запускаю АВЗ из под Live CD то естественно он проверяет процессы Live CD а не больной тачки (больную он проверяет на файлы) Как мне запустить хотя бы диспетчер задач в нормальном режиме (он заблокирован, что бы я мог хоть с командной строки запустить с флэшки АВЗ или Курета) Или хотя бы безопасный режим. Посоветуйте плиииз. Башка уже не варит ни как ! Заранее спасибо.
11.01.2009, 13:53
Bratez

[QUOTE]Не могу запустить Виндовоз ни в нормальном режиме , ни в безопасном.[/QUOTE]
Вот здесь подробнее - что происходит при попытке запустить?
11.01.2009, 14:05
BMW

вылетает синий экран смерти. Пишет что не обнаружены винты или у вас Вирус. В нормальном загружается до заставки рабочего стола и все. Ни одного значка. Да и фиг бы на них я бы все сделал. Если бы диспетчер задач не был заблокирован.

[size="1"][color="#666686"][B][I]Добавлено через 10 минут[/I][/B][/color][/size]

может userinit попробовать с нормальной тачки перенести на больную ? Поди его вирусня грохнула ?
11.01.2009, 14:09
Bratez

С помощью ERD откройте в реестре ветку
[B]HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\ CurrentVersion\Image File Execution Options[/B] и посмотрите, есть ли там подраздел [B]explorer.exe[/B]. Если есть, откройте его, посмотрите и запишите значение параметра [B]Debugger[/B]. Подраздел explorer.exe следует удалить. Файл, указанный в параметре Debugger - прислать по правилам. Также необходимо обеспечить наличие в папке Windows заведомо правильного файла explorer.exe.
11.01.2009, 14:22
BMW

Все сделал :) Винду запустил. Самого файла который указан в ветке [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe]
"Debugger"="C:\Program Files\Microsoft Common\svchost.exe"
В системен уже нет. Антивирусники постарались. Щас буду снимать логи !!!
11.01.2009, 16:00
BMW

Ну вот я и вернулся !! Проверил машину еще раз на вирусню в нормальном режиме. Сделал логи АВЗ сам написал скрипты. Но не могу избавиться в "Актив Сетап" от файла "bob.exe" А такжеу меня папочки открываются через "cmd.exe" . Но это еще было до того как сам скрипты писал. Хотя восстановление системы делал. Посмотрите логи плиз и покажите что я не правильно делал ? :)
11.01.2009, 19:52
BMW

извиняюсь что не в свою очередь ! Ребята не могли бы посмотреть мои логи а то в чужой конторе ночевать не очень хочеться. А тачку сотруднику завтра отдавать надо. И заниматься ею мне некогда будет - ведь я работаю ювелиром а в следствии буду завтра золото и серебро паять :)

[size="1"][color="#666686"][B][I]Добавлено через 1 час 20 минут[/I][/B][/color][/size]

Ребята дооооооооммммоооооой хочу !!!!! Плиииииз выручайте - посмотрите мои логи !!!!

[size="1"][color="#666686"][B][I]Добавлено через 1 час 20 минут[/I][/B][/color][/size]

вааааааааааййййййййййй !!!!!! прийдеться пивом напиться !!!!!! :)
11.01.2009, 20:07
Гриша

[URL="http://virusinfo.info/showthread.php?t=7239"]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/URL]

[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('abp470n5');
DeleteFile('C:\WINDOWS\system32\drivers\holmj.sys');
QuarantineFile('C:\RESTORE\S-1-5-21-1482476501-1644491937-682003330-1013\bob.exe','');
DeleteFile('C:\RESTORE\S-1-5-21-1482476501-1644491937-682003330-1013\bob.exe');
DelCLSID('{28ABC5C0-4FCB-11CF-AAX5-21CX1C631322}');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteSvc('abp470n5');
BC_Activate;
RebootWindows(true);
end.[/CODE]

Пришлите карантин по правилам и повторите логи...
11.01.2009, 20:30
BMW

Результат загрузки
Файл сохранён как 090111_202942_virus_496a2c86bd576.zip
Размер файла 651
MD5 c7845b7068ec646643fce49a663fb09c
Файл закачан, спасибо!
11.01.2009, 20:31
BMW

вот логи
11.01.2009, 20:33
Гриша

В логах чисто...
11.01.2009, 21:19
BMW

но папки также открываются "Запуск командной строки здесь" это первое стои в проводнике

[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]

у меня папочки открываютсЯ через командную строку

[size="1"][color="#666686"][B][I]Добавлено через 44 минуты[/I][/B][/color][/size]

ап
12.01.2009, 16:24
BMW

ребята помогите решить проблему

[size="1"][color="#666686"][B][I]Добавлено через 1 час 59 минут[/I][/B][/color][/size]

проблему решил !!!! Всем спасибо за помощь

[size="1"][color="#666686"][B][I]Добавлено через 1 час 23 минуты[/I][/B][/color][/size]

проблему решил !!!! Всем спасибо за помощь
22.02.2009, 09:56
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]2[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]