Кроме того, не удается запустить ZoneAlarm - система выдает голубой экран с ошибкой 0x000007F.
Заранее спасибо!
Printable View
Кроме того, не удается запустить ZoneAlarm - система выдает голубой экран с ошибкой 0x000007F.
Заранее спасибо!
У вас [url=http://virusinfo.info/showthread.php?t=6804&highlight=pe386]опасный бот с руткитом[/url].
AVZ - Файл - Выполнить скрипт:
[code]begin
SearchRootkit(True, True);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\lzx32.sys','');
QuarantineFile('C:\WINDOWS\system32:lzx32.sys','');
DeleteFile('C:\WINDOWS\system32\lzx32.sys');
DeleteFile('C:\WINDOWS\system32:lzx32.sys');
ExecuteSysClean;
RegKeyDel('HKEY_LOCAL_MACHINE', 'HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PE386');
RegKeyDel('HKEY_LOCAL_MACHINE', 'HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\PE386');
RebootWindows(True);
end.[/code]
После перезагрузки повторите логи и пришлите карантин AVZ в соответствии с Приложением 2, начиная с пункта 5.
Предварительно можете пофиксить старый мусор:
[code]O18 - Protocol: AutorunsDisabled - (no CLSID) - (no file)
O20 - Winlogon Notify: AutorunsDisabled - C:\WINDOWS\
O20 - Winlogon Notify: rpcc - C:\WINDOWS\[/code]
Записи в HOSTS сами добавляли?
В HOSTS да - сам строчки добавлял.
Чот не хочет он у меня удалять - каждый раз его по новой обнаруживает =(
Почему такое может быть?
[QUOTE=Marix;87767]В HOSTS да - сам строчки добавлял.
Чот не хочет он у меня удалять - каждый раз его по новой обнаруживает =(
Почему такое может быть?[/QUOTE]
А удаление точно скриптом производилось ? Вот немного доработанный скрипт, который по идее должен прибить зловреда:
[CODE]
begin
SearchRootkit(True, True);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\lzx32.sys','');
QuarantineFile('C:\WINDOWS\system32:lzx32.sys','');
DeleteFile('C:\WINDOWS\system32\lzx32.sys');
DeleteFile('C:\WINDOWS\system32:lzx32.sys');
ExecuteSysClean;
RegKeyDel('HKEY_LOCAL_MACHINE', 'HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PE386');
RegKeyDel('HKEY_LOCAL_MACHINE', 'HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\PE386');
DeleteService('PE386', true);
RebootWindows(True);
end.
[/CODE]
Да - я сначала попробовал скриптом - неоднократно - после перезагрузки опять подозрение на RootKit.
Сейчас вроде пропал - я сделал как тут рекомендуется
[url]http://virusinfo.info/showthread.php?t=6804&highlight=pe386[/url]
Так - повторно высылаю логи и карантин - вчерашний - сегодня пустой.
Заразку следует присылать, согласно правилам.
Файл сохранён как 061215_041811_virus_45826853d9221.zip
Размер файла 125626
MD5 54f486de95471f476d5aa82833267ffc
Виноват =( Прошу прощения!
Вроде побили.
В HijackThis пофиксите:
[code]O2 - BHO: (no name) - AutorunsDisabled - (no file)
O18 - Protocol: AutorunsDisabled - (no CLSID) - (no file)[/code]
Далее AVZ - Сервис - Менеджер автозапуска:
Автозапуск - Реестр - AppInit_DDLs
Удалите элемент c:\windows\system32\ldcore.dll
Супер - премногоблагодарен!
Эх... ZoneAlarm Pro продолжает вылетать с той же самой ошибкой - или это никак не связано с троянцами?
И, кстати, при загрузке вылетает окошко с ошибкой MS Windows - BCCode: 1000007f