Скрытый саботаж

Printable View

06.07.2009, 15:04
tenzor

Скрытый саботаж

Внешние признаки:
- DrWeb не обновляется, работает нормально.
- Avz и HijackThis под свими именами не запускаются
- Комп иногда изрядно тормозит

Логи сделал, прилагаю.
Переименовал AVZ.exe -> 7438.exe
Переименовал HijackThis.exe -> 6742.exe

Посмотрите, пожалуйста, кто жить мешает.
06.07.2009, 15:06
Kuzz

И где логи?
06.07.2009, 15:14
tenzor

Логи прилагаю.
--------------------
Извиняюсь, ошибочка вышла.
06.07.2009, 15:31
Зайцев Олег

[QUOTE=tenzor;427715]Логи прилагаю.
--------------------
Извиняюсь, ошибочка вышла.[/QUOTE]
1. Выполните скрипт AVZ:
[code]
begin
QuarantineFile('C:\WINDOWS\system32\servises.exe','');
DeleteFile('C:\WINDOWS\system32\servises.exe');
QuarantineFile('ntsd.exe','');
ExecuteRepair(9);
ExecuteSysClean;
end.
[/code]
2. Пришлите карантин согласно правилам
06.07.2009, 15:47
tenzor

- Скрипт выполнил,
(для обоих файлов AVZ сообщила "Ошибка карантина файла, попытка прямого чтения")
- карантин загрузил
06.07.2009, 15:58
Зайцев Олег

[QUOTE=tenzor;427730]- Скрипт выполнил,
(для обоих файлов AVZ сообщила "Ошибка карантина файла, попытка прямого чтения")
- карантин загрузил[/QUOTE]

1 Проблемы с запуском AVZ и антивирусов пропали ?
2. Следует повторно сделать логи - для контроля
3. Я советую выполнить вот этут инструкцию (так как в логе видна масса приложений, не распознанных по базе чистых): [URL]http://virusinfo.info/showthread.php?t=3519[/URL]
07.07.2009, 18:43
tenzor

1. DrWeb обновился, AVZ теперь запускается нормально.
2. Логи сделал, прилагаю.
3. Сбор файлов сделаю и пришлю.

Прошу посмотреть логи.
08.07.2009, 11:59
tenzor

1. Скрипт номер 4 ("Скрипт сбора неопознанных и подозрительных файлов") выполнил, файл загрузил.
2. В логах все нормально?
Можно жить полной жизнью?
08.07.2009, 13:26
V_Bond

C:\WINDOWS\system32\actmoviet.exe и digiwet.dll - пришлите согласно приложения 2 правил ...
08.07.2009, 14:22
tenzor

Я старался, но в карантин ничего не попало:
Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\system32\actmoviet.exe)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\system32\digiwet.dll)
Карантин с использованием прямого чтения - ошибка

Может как-то еще можно их достать? Может в Safemode получится?
08.07.2009, 15:41
V_Bond

выполните скрипт
[code]
begin
DeleteService('Spoolerclr_optimization_v2.0.50727_32');
DeleteFile('C:\WINDOWS\system32\actmoviet.exe');
DeleteFile('digiwet.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
повторите логи
08.07.2009, 18:20
tenzor

Скрипт выполнил, логи прилагаю.
08.07.2009, 18:42
tenzor

Посмотрите логи пожалуйста, оч надо сегодня завершить...
08.07.2009, 19:21
thyrex

Ничего плохого не заметил
09.07.2009, 12:12
tenzor

Ну если все, то большое спасибо всем helper'ам !!!
Тему можно закрывать.
10.07.2009, 12:12
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]1[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]