Извините...
Посмотрите вот этот лог (создан avz-ом).
P.S.: а тот лог зазипован с паролем virus.
Printable View
Извините...
Посмотрите вот этот лог (создан avz-ом).
P.S.: а тот лог зазипован с паролем virus.
Готово.
Эти логи, или я чего напутал?
[B][SIZE=2]Карантин:[/SIZE][/B]
[B][SIZE=2]Результат загрузки[/SIZE][/B]
Файл сохранён как070913_063412_virus_46e920347a4fc.zipРазмер файла359369MD5d7df507d65a6455979ea4b06d2ea35f4
Выполните следующий скрипт:
[code]
begin
BC_DeleteSvc('msupdate');
BC_DeleteSvc('kcp');
BC_DeleteSvc('NDnet1');
BC_DeleteSvc('protect');
BC_DeleteSvc('smtpdrv');
BC_Activate;
RebootWindows(true);
end.[/code]
Потом еще один:
[code]
begin
SearchRootkit(false, true);
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\Scmn41', 'Start');
RebootWindows(true);
end.[/code]
[size="1"][color="#666686"][B][I]Добавлено через 33 секунды[/I][/B][/color][/size]
После этого попытайтесь найти через AVZ файл Scmn41.sys
Скрипты выполнил (после первого вывалился в синий экран), файл не найден.
Что делать дальше?
Похоже, там главный - protect.sys. Оставим пока его в покое.
Выполните такой скрипт:
[code]
begin
BC_DeleteSvc('msupdate');
BC_DeleteSvc('kcp');
BC_DeleteSvc('NDnet1');
BC_DeleteSvc('smtpdrv');
BC_Activate;
RebootWindows(true);
end.[/code]
и сделайте еще раз "дополнительный лог".
Готово
И лог вдогонку
protect.sys тоже удалился.
Scmn41.sys - а это все сидит.
Похоже, первый скрипт из #24 все-таки сработал, потому что protect.sys исчез бесследно. Пробуйте еще раз, в нормальном режиме:
[code]
begin
SearchRootkit(false, true);
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\Scmn41', 'Start');
RebootWindows(true);
end.[/code]
После перезагрузки ищите Scmn41.sys.
Скрипт выполнил (через синий экран), файл не нашел.
Что дальше?
Заколдованый прямо какой-то!
Осталось загрузиться в консоль восстановления или с LiveCD и прибить его там. Живет он скорее всего в windows\system32\drivers.
А как сработать в консоли (или где добыть LiveCD)?
Старый добрый DOS помните? :) Если нет, то придется...
Собственно, а давайте-ка попробуем сделать лог через Rootkit Unhooker!
[URL="http://rku.nm.ru/rkunhooker_v3/RkU3.7.300.506.zip"]Скачать RKU[/URL]
С созданием лога справитесь или подсказать относительно последовательности нажатий?
*****
еще один вариант, не связанный с live cd&recovery console - можно извлечь HDD из компьютера и подключить его к другой машине, из под которой поискать этот драйвер в системной папке. так нагляднее будет, да и антивирусом провериться можно.
Что-то из ДОСа помню, но последовательность - лучше подскажите, плз. :)
[size="1"][color="#666686"][B][I]Добавлено через 3 часа 5 минут[/I][/B][/color][/size]
Уважаемые, вы где пропали? :embarasse
[url]http://virusinfo.info/showthread.php?t=6287[/url]
М-м-м...
Это я уже скачал, а вот где написано чего надо нажимать?! :)
P.S.: еще один влет на вирусы, и я начну давать консультации равзработчикам антивирусного ПО :)
[size="1"][color="#666686"][B][I]Добавлено через 17 минут[/I][/B][/color][/size]
Вроде как я его... того...
Кажется, грохнул я Scmn41.sys руткитом. :)
Как это проверить?
сделать новый лог ....
Во кино...
Руткит не удалил его - нашел в консоли, удалил (как показала консоль), а в логах - опять есть?!
загружайтесь с с live cd и удаляйте ...