питомник зверья

сотрудник принес ноут на очистку.....
массу зверья прибить удалось самому с помощью cureIt и авз... после лечения комп стал через раз загружаться, зависает при попытки открыть "мой компьютер", после экрана приветствия появляется ошибка что не возможно найти файл worc.exe, и не накак не удоляется файл"brastk.exe"(точнее скрипт его убевает но после перезагрузки он сново на месте....)
так же в новых логах почемуто отсутствует хотя я не удалял.... странная запись в автозагрузке "exploree.exe work.exe" (до этого она в логах присуцтвовала)

сейчас меня на другую работу перебрасывают так что надежда только на вас , помогите пожалуйста...

ап

Совет: вешай тему в раздел, где обучаешься. Там пиши скрипт, а мы поможем, поправим.
Выполнить:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\karna.dat','');
QuarantineFile('brastk.exe','');
QuarantineFile('mssql.exe','');
DeleteFile('mssql.exe');
DeleteFile('brastk.exe');
DeleteFile('C:\WINDOWS\system32\karna.dat');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]

Сделать заново логи.
Загрузить карантин по Правилам через [url]http://virusinfo.info/upload_virus.php?tid=41808[/url]

спасибо в будущем туда буду писать

Это зверье лучше через LiveCD чистить. Уж больно оно въедливое.

проблема после скрипта осталась.... после перезагрузки выбает ошибку (на скрине) и виснет при попыьте открыть "мой компьютер"
капантин выслал логи делаю
Файл сохранён как 090316_144053_virus_fotorama_49be3ac5b7f02.zip
Размер файла 1299795
MD5 1b022db398da455948e3cd9e984097b6

[QUOTE=PavelA;372434]Это зверье лучше через LiveCD чистить. Уж больно оно въедливое.[/QUOTE]

щас попробую др.веборский LiveCD скачать но боюсь скорость рабочего инета мне недаст это сделать......

новые логи
lavecd скачал щас неро ставлю буду с него пробовать ...

проверка с laveCD похоже затянется до утра :( пока не поскажете что там с карантином.... просто с прашивают чем они заразиться умудрились.....

Червяки, с флешек, Даунлоадеры в "Восст. системы", бэкдор, ну вообщем, разная пакость.
Но это еще не все, что вытащили.

[QUOTE]проверка с laveCD похоже затянется до утра [/QUOTE]
Нажми паузу, почисти System Volume Information, temp-папки и Temporary Internet files - сэкономишь время.

[QUOTE=Bratez;372542]Нажми паузу, почисти System Volume Information, temp-папки и Temporary Internet files - сэкономишь время.[/QUOTE]

это все почистил сразу после логов, вост. системы тоже выруби...
у меня проблема с laveCD(др.веборским) ...
его сканер находит 9 троянов.... причем 7 из них авз в логах не отображает....
праблема заключается в том что др.веб находить их находит но не удоляет :( пишет "write error" при попытке удолить ручками с помощю laveCD мс выдает рид онли..... подскажите что делать...
увы сейчас ноут вырублен и все пути файлов и их имена написать не могу, но сидят они 2 в windows\ оттальные в windows\system32\
из их имен могу нахвать C:\WINDOWS\karna.dat
C:\WINDOWS\av.exe
остальные имеют название чтото вроде TDSSS(ЧЕТО ТАМ 2или 3 знака), расширения у них dll, exe, sys, dat, еще и выжел C:\WINDOWS\system32\beep.sys(хотя его я удолял своими скриптами и из windows и из system32) .... чем мне их еще можно выловит, желательно их хостовой системы

п/с
вопрос не втему ответе если не сложно...
последний lavecd до этого момента я использовал еще в конце лехих девяностых, тогда он был собран из 98 винды....
сейчас др.вебер меня очень сильно шакировал тем что он склепан из линухи вроде даже убунты..... а я увы с unix системами очень не дружу.... так вот и сам вопрос... естьли насвете еще виндовые lavecd или для лечения лутьше учить линуху придется ??? просто с виндовой аболочкой мне по проще работать будет...

Ответ на второй вопрос: есть и много разных сборок, даже для флешек.

Tdss сноси свежим гмером

спасибо... попробую как время будет прибить что найду как закончу выложу новые логи

gmer не запускается :(
безопасный режим тоже :(
востановить безопасный режим с помощью авз не получилось.....

[size="1"][color="#666686"][B][I]Добавлено через 4 минуты[/I][/B][/color][/size]

гмер после перезагрузки какимто образом запустился:)

лог гмера присылать?

гмер находит , удоляет но они всеравно востонавливаются..... я про TDSS

\systemroot\system32\drivers\TDSSmqlt.sys
system32\drivers\TDSSosvd.sys
TDSSserv.sys

File C:\WINDOWS\system32\TDSSrtqp.dll
File C:\WINDOWS\system32\TDSSxfum.dll
File C:\WINDOWS\system32\TDSSlxwp.dll
File C:\WINDOWS\system32\TDSSkkbi.log
File C:\WINDOWS\system32\TDSSproc.log

Вот вся пачка TDSS. Все это добро через Гмер удаляй.

tdss удалил .... посмотрите пожалуйста новые логи

up

[size="1"][color="#666686"][B][I]Добавлено через 3 часа 35 минут[/I][/B][/color][/size]

всели чисто?