Посл. карантин загрузили?
В принципе уже можно пробовать снова делать станд. скрипты AVZ/
З.Ы. Цитировать полностью скрипты не надо. Экономьте Ваш и мой траффик.
Printable View
Посл. карантин загрузили?
В принципе уже можно пробовать снова делать станд. скрипты AVZ/
З.Ы. Цитировать полностью скрипты не надо. Экономьте Ваш и мой траффик.
Привожу снова логи. Пходу ntos.exe не удалился?
Где же ты, карантин, где?
В норм. режиме пробовали загружаться?
[B]ntos.exe[/B] похоже еще жив, зато удалось вырубить [B]Sal25.sys [/B]- тот еще подарок ;)
Выполните скрипт:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\ntos.exe');
BC_DeleteFile('C:\WINDOWS\system32\ntos.exe');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
После перезагрузки пофиксите (что останется):
[code]
F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,C:\WINDOWS\system32\ntos.exe,
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [userinit] C:\WINDOWS\system32\ntos.exe
[/code]
Очистите папку:
C:\avz1\avz4\avz4\Quarantine\
Поищите чере AVZ файл Sal25.sys и пришлите его по правилам.
[size="1"][color="#666686"][B][I]Добавлено через 58 секунд[/I][/B][/color][/size]
И сделайте все три лога в нормальнои режиме.
[quote=PavelA;133060]Где же ты, карантин, где?
В норм. режиме пробовали загружаться?[/quote]
В нормальном грузится - все Ок. Какой карантин? Выслать virusinfo_cure или то что в директории Quarantine?
[QUOTE]Какой карантин? [/QUOTE]
Приложение 3 правил. Отметить все файлы.
После отправки карантина см. сообщение #24.
Ждем.
Извиняюсь за долгое отсутствие - бешенный график. Высылаю карантин
Буду делать по сообщению #24
Ура! Ntos - убит! Итак, респект и уважуха: Bratez, PaveA. Хотя может и рано радоваться привожу логи.
Что из этого не нужно?
[QUOTE]>> разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> разрешена потенциально опасная служба Alerter (Оповещатель)
>> разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
[/QUOTE]
Да теперь все хорошо. Только очистите от греха папку
[B]C:\avz1\avz4\avz4\Quarantine[/B]
(там валяется экземпляр Rootkit.Win32.Agent.ey).
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]4[/B][*]Обработано файлов: [B]11[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\avz1\\avz4\\avz4\\quarantine\\runtime2.sys - [B]Rootkit.Win32.Agent.ey[/B] (DrWEB: Trojan.NtRootKit.321)[*] c:\\windows\\system32\\drivers\\sal25.sys - [B]Rootkit.Win32.Agent.hy[/B] (DrWEB: Trojan.NtRootKit.367)[*] c:\\windows\\system32\\ntos.exe - [B]Trojan-Spy.Win32.Zbot.adj[/B] (DrWEB: Trojan.Proxy.2003)[/LIST][/LIST]