сначала была ошибка system.exe, 2070 год... теперь не дает зайти в систему, после выбора пользователя начинат грузиться и сразу же выходит обратно. LiveCD dr.Web проверку делать отказывается. Что можно сделать?
Printable View
сначала была ошибка system.exe, 2070 год... теперь не дает зайти в систему, после выбора пользователя начинат грузиться и сразу же выходит обратно. LiveCD dr.Web проверку делать отказывается. Что можно сделать?
Посмотрите там в Midnight Commander есть ли userinit.exe в system32...
Нашел 3 файла userinit.exe :
/mnt/disk/hda2/WINDOWS/system32/
/mnt/disk/hda2/i386/
/mnt/disk/hda5/windows/system32/
Этого там посмотрите system.exe, но не удаляйте, найдете сообщите...
нет, system.exe не находит
в system32 есть system.drv, и куча xxx.exe ... (xxx - какие-то цифры)
Проверка так и не запускается?
Нет, ползунок пробегает туда-сюда и сразу все возвращается в исходное положение.
[size="1"][color="#666686"][B][I]Добавлено через 36 минут[/I][/B][/color][/size]
попробовала запустить LiveCD с подключенным внешним винтом, тоже зараженным (раньше его отключала). может на нем что. Но с ним ни проверка, ни Midnight Commander не запускаются.
[size="1"][color="#666686"][B][I]Добавлено через 2 часа 16 минут[/I][/B][/color][/size]
Что дальше сделать посоветуете?
Можно ещё попробовать найти C:\RECYCLER\*****************\mwau.exe.
А системная дата в БИОСе правильная стоит?
Системную дату через биос поменяла, проверка в LiveCd пошла.)))
mwau.exe не находится ни ручками ни поиском.
В общем после правки параметра userinit через удаленный реестр удалось зайти в систему. Обновила базы антивируса (Avast), все им проверила, вроде что-то нашел, поудалял.
Потом сделала все как в правилах написано, прикрепляю логи, посмотрите пожалуйста!
Так что там с логами?
[URL="http://virusinfo.info/showthread.php?t=7239"]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise.exe','');
DelBHO('{95289393-33EA-4F8D-B952-483415B9C955}');
QuarantineFile('C:\WINDOWS\system32\wskrnla.exe','');
DeleteFile('C:\Documents and Settings\Petak\Application Data\Microsoft\Internet Explorer\qipsearchbar.dll');
DeleteFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise.exe');
DelCLSID('{08B0E5C0-4FCB-11CF-AAX5-90401C608512}');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
Пришлите карантин по правилам и повторите логи...
Карантин выслала.
вот новые логи:
Карантин после Гришиного скрипта высылали? А то, там только один файлик, да и тот не тот, что хотелось бы посмотреть.
Нет, выслала то что AVZ нашел при проверке. А после скрипта ничего в карантин добавлено не было.
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]1[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]