Система споткнулась у тебя не слабо. Логи где? ;)
Printable View
Система споткнулась у тебя не слабо. Логи где? ;)
[quote=SuperBrat;133892]Мой код будет вот таким:
[code]begin
DeleteFile('C:\WINDOWS\System32\vedxg6ame4.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code][/quote]
В таком виде все успешно прошло включая корректную перезагрузку системы!
Слогами проблема заключается в синеньком таком экране СМеРти буть он не ладен.
Запускаю скрипт......зерез пару секунд лицезрею на синем фоне что то там по английски (не успеваю прочитать. особенно не зная языка)
[QUOTE='Not;133895']В таком виде все успешно прошло включая корректную перезагрузку системы![/QUOTE]
Молодец. Давай дальше по списку.
Говорили же мне занающие люди на этом УВАЖАЕМОМ сайте, что програмы антивирусные надо запускать в безопасном режиме винДЫ!:)
Вроде все получилось! только больно напугали строчки "невозможно удаление из за запрета (дальше не видно за рамкой было)
P.S. зато теперь логи загружаются!
1.Пофиксить в HijackThis следующие строчки ( [url]http://virusinfo.info/showthread.php?t=4491[/url] )
[code]
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O20 - Winlogon Notify: botreg - C:\Documents and Settings\All Users\Документы\Settings\bot.dll (file missing)[/code]
2.AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
QuarantineFile('C:\WINDOWS\System32\Drivers\dump_WMILIB.SYS','');
QuarantineFile('C:\WINDOWS\System32\Drivers\dump_nvata.sys','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\tcpip.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\Vfw38.sys','');
QuarantineFile('C:\Documents and Settings\All Users\Документы\Settings\bot.dll','');
DeleteFile('C:\Documents and Settings\All Users\Документы\Settings\bot.dll');
DeleteFile('C:\WINDOWS\system32\ntos.exe');
DeleteFile('C:\WINDOWS\system32\drivers\Vfw38.sys');
DeleteFile('C:\WINDOWS\system32\drivers\Cou64.sys');
DeleteFile('C:\WINDOWS\system32\drivers\Dfm46.sys');
DeleteFile('C:\WINDOWS\system32\drivers\His51.sys');
DeleteFile('C:\WINDOWS\system32\drivers\Hxdb52.sys');
DeleteFile('C:\WINDOWS\system32\drivers\Mqrj62.sys');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(6);
ExecuteRepair(9);
ExecuteRepair(10);
ExecuteRepair(11);
ExecuteRepair(12);
RebootWindows(true);
end.[/code]
Прислать карантин согласно приложения 3 правил .
3.Сделай новые логи после лечения и присоедини к следующему сообщению.
P.S.Ты главное под ограниченным юзером в инете работай, тогда хоть руткитов не нахватаешься даже с эксплорером.Просто в файрфоксе можно легко настраивать скрипты, а в екслпорере не возможно.
Люди!!! Куда Вы пропали???!!! не оставляйте меня одного с этими тварями!!!! :D
[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]
[quote=drongo;133900]1.
[code]
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O20 - Winlogon Notify: botreg - C:\Documents and Settings\All Users\Документы\Settings\bot.dll (file missing)[/code]
2.[/quote]
УПС...... странно но секунду назад после п2 ничего не было!!!
Извини...... мне верхом на бронепоезде не очень понятно звуковоймужчина.ехе тоже не наш человек?
и почему после 2. пусто?
И все равно очень много строчек красного цвета с какими то надписями что то про руткит и удаление невозможно из за каких то настроек
логи свежак:
временные папки почистить, они там плодяться каждый раз с новыми именами. хоть руками в сейфмоде, хоть ccleaner- [url]http://soft.softodrom.ru/ap/p5628.shtml[/url] только галку при установке с установки тулбара убери
Пришли ещё файл C:\WINDOWS\system32\DRIVERS\tcpip.sys посмотреть, не нравится мне его отсутствие в базе чистых.
[quote=RiC;133919]Пришли ещё файл C:\WINDOWS\system32\DRIVERS\tcpip.sys посмотреть, не нравится мне его отсутствие в базе чистых.[/quote]
как слать? в архиве?
По ссылке "Прислать запрошенные файлы" в Zip архиве с паролем virus
[B]RiC[/B],
высылаю несколько архивов ( с паролем virus)
в которых файлы лежащие в виндовых папках и датой создания 12.09.07 но вот этот C:\WINDOWS\system32\CatRoot2\tmp.edb не хочет архивироваться говоря, что используется другим приложением.
[QUOTE=Not;133932][B]RiC[/B],
высылаю несколько архивов ( с паролем virus)[/QUOTE]
Помилуйте, меня траффик платный, пришлите только то, что насобирал AVZ в карантин.
[quote=RiC;133934]Помилуйте, меня траффик платный, пришлите только то, что насобирал AVZ в карантин.[/quote]
сорри, сорри но там действительно очень странные файлы!
[size="1"][color="#666686"][B][I]Добавлено через 11 минут[/I][/B][/color][/size]
[B]RiC[/B],
отправил.
но скажите мне, что этот файл обычный виндовый и я успокоюсь
[IMG]http://virusinfo.ucoz.ru/viruss/ggg.GIF[/IMG]
Из присланного в последний раз -
Ewxk83.sys - Троян
symavc32.sys - Троян
uzm0nti3.sys - Чистый
C:\WINDOWS\system32\DRIVERS\tcpip.sys - не попал в карантин
[size="1"][color="#666686"][B][I]Добавлено через 4 минуты[/I][/B][/color][/size]
[QUOTE=Not;133935]но скажите мне, что этот файл обычный виндовый и я успокоюсь
[IMG]http://virusinfo.ucoz.ru/viruss/ggg.GIF[/IMG][/QUOTE]
Файл размером 0 байт не содержит ничего :)
[size="1"][color="#666686"][B][I]Добавлено через 12 минут[/I][/B][/color][/size]
C:\WINDOWS\system32\DRIVERS\tcpip.sys - чистый, патчен на снятие ограничения по кол-ву сессий что-ли ?
C:\WINDOWS\system32\msdnc3.exe - 99% - Троян
C:\WINDOWS\system32\drivers\Vfw38.sys копия symavc32.sys
[size="1"][color="#666686"][B][I]Добавлено через 6 минут[/I][/B][/color][/size]
Дронго правильно посоветовал - Cceanen, после можно пройтись ещё раз AVZ только не скриптом из правил, а обычной проверкой из меню, судя по логам активной живности не осталось, только хвосты.
[B]RiC[/B],
Компу реально легче и обращений в нет не видно, проверка (не полная) АВЗ никого не нашла (осталось весь С: проверить) но то, что живности не осталось я не уверен
вот, что спайбот показал
[IMG]http://virusinfo.ucoz.ru/viruss/spy.GIF[/IMG]
Если развернуть пути там есть ехеШники.
например
[IMG]http://virusinfo.ucoz.ru/viruss/spy2.GIF[/IMG]
[quote]Если развернуть пути там есть ехеШники.[/quote]
А на винчестере они тоже есть ? На скрине записи в реестре, о том что когдато было/жило, и скорее всего уже стерто, судя по всему антивирусом который не позаботиллся о зачистке реестра.
Вот хороший антиспай, это бесплатная версия - только сканер, и во время начала проверки нужен инет - [url]http://downloads.ewido.net/ewido_micro.exe[/url] можете ещё им проверится для уверенности, после начала сканирования инет можно будет отключить, если нужно.
[quote=RiC;133959]А на винчестере они тоже есть ? На скрине записи в реестре, о том что когдато было/жило, и скорее всего уже стерто, судя по всему антивирусом который не позаботиллся о зачистке реестра.
Вот хороший антиспай, это бесплатная версия - только сканер, и во время начала проверки нужен инет - [URL]http://downloads.ewido.net/ewido_micro.exe[/URL] можете ещё им проверится для уверенности, после начала
сканирования инет можно будет отключить, если нужно.[/quote]
спайботом сканил 5 минут назад после всех описаных здесь манипуляций. удаление не запускал только отсканил.
Антивирусом стирал только АВЗ.
Вот....
P.S. кстати это:
"Из присланного в последний раз -
Ewxk83.sys - Троян
symavc32.sys - Троян
uzm0nti3.sys - Чистый"
было заархивировано тоже после.
Так... ну вроде теперь все!
- ewido ничего не нашол
- доктор нашол и убил BackDoor.Dld.1169
- spy убил то, что было на скриншоте
- в довершение AVZ нашол и безжалостно убил rootkit.Win32.Agent.ea
при повторных сканированиях НИКТО НИЧЕГО НЕ НАШОЛ!!!! УРА!!!!
на всякий случай свежие логи:
ВСЕМ 200 раз спасибо!
В логах теперь чисто.
Что из этого тебе нужно?
[QUOTE]>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя[/QUOTE]
и всё же ты нас не слушаешь,так и работаешь под админом ;)