Printable View
Здравствуйте. Нахватали вирусов, компьютер не загружался ни в обычном, ни в безопасном режиме (уходил на перезагрузку). Загрузились с лив сиди и прогнали CureIt свежим. И с Avira Resc Cd. напару они поудаляли кучу гадости. Компьютер стал загружаться. Из безопасного режима прогнали свежим AVPTool с макс настройками поиска (что-то в кукисах только нашел) и AVZ с последними базами. Хотелось убедиться, что все вычищено, заранее спасибо.
Выполните скрипт в avz
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\braviax.exe','');
DeleteService('fips32cup');
DeleteService('acpi32');
DeleteFile('C:\WINDOWS\system32\drivers\acpi32.sys');
DeleteFile('C:\WINDOWS\system32\drivers\fips32cup.sys');
DeleteFile('C:\WINDOWS\system32\braviax.exe');
RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','braviax');
RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','braviax');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
ПК перезагрузится.
Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы
Сделайте новые логи.
Выполнил скрипт. Карантин пустой, прикрепил новые логи.
Сделайте лог Gmer.
сделал лог Gmer.
Запустите Gmer. При предварительном сканировании (сразу после запуска) программа должна обнаружить буткит:
[CODE]Disk \Device\Harddisk0\DR0 sector 32: rootkit-like behavior; copy of MBR
Disk \Device\Harddisk0\DR0 sector 63: rootkit-like behavior; copy of MBR[/CODE]
Нажать правым щелчком по строке, выберите "Copy" и сохраните содержимое первого сектора в каком-нибудь каталоге.
Пришлите содержимое первого сектора по правилам. Пролечитесь Dr.Web CureIt!, сделаете новый лог Gmer.
[QUOTE=shapel;542024]Нажать правым щелчком по строке, выберите "Copy" и сохраните содержимое первого сектора в каком-нибудь каталоге.
Пришлите содержимое первого сектора по правилам. [/QUOTE]
Простите, хотел уточнить, правильно ли я делаю - на 1й строчке (где написано sector 1) прав клик и "copy", сохраняю с произвольным именем (напр, sect1)? просто смутило, что, вроде, получается пустой файл (пустая строка на 512 символов).
Поробуйте скопировать 32,63 сектор.
Пробовал, тоже самое. Была версия 1.0.14 gmer скачал 1.0.15, не помогло. Смотрел Far' ом. Сейчас был открыт gmer (после начального сканирования) и запустил CureIT, компьютер завис. точнее было похоже что задействовано 100% ресурсов, вылезла ошибка инициализации rundll32 и на диспетчер задач (попытался запустить). Не знаю, мб глюк винды или гмер с кьюром поцапались (хотя 1 не сканировал, а 2й только начал запускаться и не появилась даже окошко с вопросом "просканировать сейчас").
Сначало пролечитесь Dr.Web CureIt!,потом сделаете новый лог Gmer
Прошелся CureIt в безопасном и обычном режиме. Ругнулся только на adBlocker (fake Adblocker) - удалил программу. Свежие логи gmer.
Просканируйте ПК AVPTool, затем сделайте лог Gmer
Качаю свежий AVPTool. Только сейчас задумался, а лог Gmer делать лучше из безопасного или обычного режима, или нет разницы?
Лог gmer делайте из обычного режима.
Проверил АВП в безопасном - расширенный режим и углубленный анализ (в общем все по-максимуму) и в обычном в рекомендованном режиме (тк максимальный занимает 8 часов =( ).. ничего не нашел (только возможные уязвимости). лог Gmer прилагается.
В логах чисто
спс, в понедельник (к сож раньше не получиться) попробую еще раз предварительное сканирование Gmer, надеюсь не будет больше буткитов =) или все же стоит еще чем-нибудь "провериться"?
Нет у Вас буткитов :)