Printable View
[FONT=Times New Roman]В общем, сейчас все перечислю:
1)Чтоб загрузился виндовс, необходимо зайти сначала в безопасном режиме, а потом перезагрузиться в нормальный. иначе - заставка, ни рабочего стола, ни пуска...
раньше просто это обходилось тупым контральтделет --> выйти из системы, но сейчас ничего не помогает!
и опять ошибка сервисес. екзе(1 минута почти прошла, логи прикреплю в след. сообщ.)
[/FONT]
так, идем дальше - пользователь администратор, но все равно - диспетчер задач типо отключен.
и вылазит "система завершает работу итд итп тк завершес сервисес.екзе."
ну и + то что написал в пред. сообщ.
АВЗ->Файл->Выполнить скрипт.
Содержимое карантина прислать по правилам
[CODE]begin
QuarantineFile('D:\WINDOWS\system32\stmadsl.cpl','');
QuarantineFile('D:\WINDOWS\system32\jpicpl32.cpl','');
QuarantineFile('D:\WINDOWS\TEMP\joa1.tmp','');
QuarantineFile('D:\WINDOWS\TEMP\xha3.tmp','');
QuarantineFile('D:\WINDOWS\system32\vbsys2.dll','');
end.[/CODE]
я не нашел в правилах как прислать содержимое карантина. только поиск файлов при помощи АВЗ и там что-то
5. Выберите из меню "Файл" - >"Просмотр карантина".
6. Справа в списке файлов отметьте те файлы которые хотите выслать.
7. Нажмите на кнопку "Архивировать" и укажите место на диске где будет сохранён архив.
8. Загрузите полученный архив по адресу [url]http://virusinfo.info/upload_virus.php[/url] , указав в поле "Ссылка на тему" ссылку на открытую Вами тему (ссылка должна быть вида httр://virusinfo.info/showthread.php?t=ХХХХ).
Результат загрузки
Файл сохранён как 070104_160112_virus_459d79280c1e9.zip
Размер файла 519559
MD5 df3db406a5abb04d8acf3ca113668098
Файл закачан, спасибо!
Для начала необходимо пролечиться от Parite.2
скачайте [url]ftp://ftp.drweb.com/pub/drweb/cureit/drweb-cureit.exe[/url]
и пролечитесь в безопасном режиме.
D:\WINDOWS\system32\vbsys2.dll - свежинький Trojan-Clicker.Win32.Agent.ac (KAV)
как бы экземплярчик D:\WINDOWS\system32:lzx32.sys наковырять...
Шу_б, D:\WINDOWS\system32\lzx32.sys нету, есть только длл-ка такая:
так, кур ит не помог, опять "система зав. работу"
[QUOTE=Orachin;90007]D:\WINDOWS\system32\lzx32.sys нету[/QUOTE]
Скорее всего, есть; это руткит, его обычным путём не увидеть. Скачайте свежую версию AVZ и повторите первый лог.
P.S. Против Parite надо CureIt несколько раз пропустить, пока гад не перестанет обнаруживаться.
вот
Проще подцепить винт к "чистому" компу и пролечить Cureit`ом (Cureit скачать заново на чистом компе !)
если такой возможности нет тогда -
Качаете свежий CureIt и сохраняете в отдельный каталог.
AVZ - "Файл" - "Выполнить скрипт"
[code]
begin
BC_DeleteFile('D:\WINDOWS\TEMP\xha3.tmp');
BC_DeleteSvc('PE386');
BC_LogFile(GetAVZDirectory + 'boot_clr.log');
BC_Activate;
RebootWindows(true);
end.
[/code]
Перезагрузка -> и ещё перезагрузка в защищённый режим
Запускаете Cureit и "добивете" Parite.
После перезагрузки повторяете 1-й лог на проверку.
скрипт выполнил, перезагрузил, кюрит нифига не нашел, зашел в обычный, скрипт выполнил.
-Диспетчер задач еще отключен, хотя я администратор
Выполнить скрипт
[CODE]begin
QuarantineFile('D:\DOCUME~1\Orachin\LOCALS~1\Temp\kta1.tmp','');
end.[/CODE]
Файл kta1.tmp' из карантина прислать
Результат загрузки
Файл сохранён как 070105_080824_virus_459e5bd8eeb47.zip
Размер файла 171052
MD5 843680fad5c8d8db647ba9389bdeb637
Файл закачан, спасибо!
только он в архиве почему-то не как kta1.tmp'
Parite живее всех живых. Что курит сказал? Все диски им просканированы были?
Гесер, открыл, нажал Пуск, что проверил то проверил.
Спасибо вам! теперь и раб стол грузится и сервисес не завершается! :)
что еще сделать нуно?
Обычно, для достоверности, ещё раз просят сделать логи.
[QUOTE=Orachin;90079]Гесер, открыл, нажал Пуск, что проверил то проверил.
Спасибо вам! теперь и раб стол грузится и сервисес не завершается! :)
что еще сделать нуно?[/QUOTE]
Скорее всехо не проверил ничего. Потому что нужно выбрать сначала диски для проверки. А вирус остался.
-а может и проверил... наверное, и пролечил...
т.е. при запуске drweb-cureit нашёл заразу в памяти, а затем и её источник на диске и, разумеется, сделал то что должно... :)