на всякий случай ...
выполните скрипт ...
[code]
begin
QuarantineFile('C:\WINDOWS\system32\sfc_os.dll','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил ...
Printable View
на всякий случай ...
выполните скрипт ...
[code]
begin
QuarantineFile('C:\WINDOWS\system32\sfc_os.dll','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил ...
Да, и еще такой скриптик:
[code]
begin
regkeyparamdel('HKEY_USERS', '.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run', 'LinkDel');
end.[/code]
Пациент скорее жив ...
Выполнил предложенные скрипты, карантин выслал.
Спасибо.
хорошая новость ...
C:\WINDOWS\system32\sfc_os.dll - чистый
плохая новость ...
C:\WINDOWS\system32\ntoskrnl.exe [B]Trojan.Win32.Patched.at[/B]
необходимо заменить .... из дистрибутива
заменить можно так
Пуск/выполнить/cmd
expand d:\i386\ntoskrnl.ex_ c:\windows\system32\ntoskrnl.exe
вместо d буква вашего cd
затем еще раз логи ...
[quote=V_Bond;135794].... из дистрибутива [/quote]
Этот этап для меня сложноват. Комп офисный, фирма маленькая (админа, техника и т.п. нет), кто устанавливал, где диски (самое главное есть ли они) - для нас это сложные вопросы. Завтра постараюсь разузнать.
вот залил вам [URL="http://slil.ru/24872801"]ntoskrnl.ex_[/URL]
Скачав файлик положите его например в корень диска C ,тогда его замена будет выглядеть так :
Пуск--выполнить--cmd
expand с:\ntoskrnl.ex_ c:\windows\system32\ntoskrnl.exe
и про логи не забудьте.
За файл спасибо, но закачать не получается. Ошибка [I]502 Bad Gateway[/I]
Попробовать позже? А можна с другого компа взять или он тоже может быть заражен ? (на работе сетка, пять компов).
лучше попробуйте позднее ... там файл гарантировано чистый...
или ищите диск...
Пробуй позже. Не рискуй. Других мы еще не проверяли, не знаем что там живет.
Файл нашел, спасибо.
Попытка замены закончилась [I]"не удается открыть системный файл c:\windows\system32\ntoskrnl.exe"[/I]
Либо что-то не так сделал, либо версия виндов не та.
Это home или pro?
Лог getsysteminfo не помешает для выяснения ситуации. сделай его, плс.
Извиняюсь за свои знания (вернее их отсутствие), но лог [I]getsysteminfo[/I] это скрипт в AVZ (срипт сбора информации...)?
[I]Про[/I] и там и там, [I]СП2[/I] тоже.
getsysteminfo - программа с сайта Касперского. ;)
Лог сделал, его прикрепить к сообщению или загрузить (создать архив с паролем virus)?
прикрепить ...
Прикрепить не получилось, он весит 1.42 МБ, по весу не проходит как вложение :(
Сжать rar-ом и прикрепить.
Виноват, затупил
Выполнить скрипт:
[CODE]begin
SetAVZGuardStatus(true);
BC_LogFile(GetAVZDirectory + 'boot_clr.log');
BC_DeleteFile('C:\WINDOWS\System32\drivers\runtime.sys');
BC_DeleteFile('C:\WINDOWS\system32\DefLib.sys');
BC_DeleteSvc('runtime');
BC_Activate;
RebootWindows(true);
end.[/CODE]
После перезагрузки прислать boot_clr.log