Проверка в безопасном режиме nod'ом и dr.web'ом ничего не дала. Надеюсь на вашу помощь.
Printable View
Проверка в безопасном режиме nod'ом и dr.web'ом ничего не дала. Надеюсь на вашу помощь.
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,');
QuarantineFile('C:\DOCUME~1\11111\LOCALS~1\Temp\Rjl.exe','');
QuarantineFile('C:\DOCUME~1\11111\LOCALS~1\Temp\Rjn.exe','');
DelCLSID('{6B830884-20E3-4AB6-B672-2629F0F72071}');
QuarantineFile('C:\Documents and Settings\11111\Application Data\CMedia\CMedia.dll','');
QuarantineFile('C:\windows\system32\sshnas21.dll','');
DeleteFile('C:\windows\system32\sshnas21.dll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\SSHNAS\Parameters','ServiceDll');
DeleteFile('C:\Documents and Settings\11111\Application Data\CMedia\CMedia.dll');
DeleteFileMask('C:\Documents and Settings\11111\Application Data\CMedia', '*.*', true);
DeleteDirectory('C:\Documents and Settings\11111\Application Data\CMedia');
DeleteFile('C:\DOCUME~1\11111\LOCALS~1\Temp\Rjn.exe');
DeleteFile('C:\DOCUME~1\11111\LOCALS~1\Temp\Rjl.exe');
DeleteFile('C:\WINDOWS\Tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job');
DeleteFile('C:\WINDOWS\Tasks\{8C3FDD81-7AE0-4605-A46A-2488B179F2A3}.job');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.[/CODE]
После перезагрузки:
- выполните такой скрипт
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
- Файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ загрузите по ссылке [B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B] вверху темы
- Сделайте лог [URL="http://virusinfo.info/showthread.php?t=40118"]Gmer[/URL]
при проверке через Gmer, вылетел синий экран смерти и ресет...
сори, ссылку на карантин не нашел, выкладываю сюда:
Не нужно сюда карантин. Ищите ссылку вверху страницы. И жду ответа в ЛС.
попробуйте деинсталировать эмулятор дисков и сделать лог Gmer
при полном сканировании череp gmere комп виснет 50% svhost, 50% winlogon... ждал полтора часа... результат нулевой. выкладываю быстрый скан. Может создать нового юзера и оттуда все повторить заново? Пожалуста посоветуйте что делать!
Сделайте лог [url]http://virusinfo.info/showpost.php?p=493610&postcount=1[/url]
лог combofix'a :
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
[code]KillAll::
File::
Driver::
rzomqvsu
rhwws
NetSvc::
rzomqvsu
rhwws
Folder::
Registry::
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"5302:TCP"=-
FileLook::
DirLook::[/code]
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
[img]http://i076.radikal.ru/1003/e5/554faea12baf.gif[/img]
Когда сохранится новый отчет [B]ComboFix.txt[/B], прикрепите его к сообщению.
проблема осталась... лог:
В логе ничего необычного.
Попробуйте в безопасном режиме через msconfig отключить запуск антивируса и проследить за ситуацией
В безопасном режиме без антивируса, проблема осталась!
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]8[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]