в безопасном режиме и [U][COLOR=#22229c]syscure.zip[/COLOR][/U] получилось...
Printable View
в безопасном режиме и [U][COLOR=#22229c]syscure.zip[/COLOR][/U] получилось...
Выполнить скрипт в Safe Mode:
[CODE]begin
Clearquarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\drivers\IdeChnDr.sys','');
QuarantineFile('system32\DRIVERS\Ip6Fw.sys','');
QuarantineFile('\??\C:\fwdrv.sys','');
BC_DeleteFile('C:\fwdrv.sys');
BC_DeleteSvc('fwdrv');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
Загрузить карантин, если в него что-то попадет.
Выпонил.
? загрузить это в смысле прислать по этой ссылке то что в карантине [url]http://virusinfo.info/upload_virus.php?tid=12884[/url]
именно ...
тогда уже отправил...
Файл tcpip.sys чистый.
Попробуй сделать скрипт лечения в норм. режиме.
syscure.zip не создаётся. Что делать?
выполните скрипт ...
[code]
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('\WINDOWS\system32\ntkrnlpa.exe','');
BC_ImportAll;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
[/code]
пришлите крарантин согласно приложения 3 правил ...
после выполнения скрипта вместо перезагрузки такой ответ Failed to set data for 'DisplayName'
Ошибка в работе антируткита [Access violation at address 00404D1F in module 'avz.exe'. Read of address 6576206C], шаг [9]
Попробуй так:
[CODE]begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\system32\ntkrnlpa.exe','');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.[/CODE]
Тоже самое и пишет
Ошибка в работе антируткита [Out of memory], шаг [11]
тогда так ...
[code]
begin
ClearQuarantine;
QuarantineFile('C:\WINDOWS\system32\ntkrnlpa.exe','');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.
[/code]
Файл успешно помещен в карантин (C:\WINDOWS\system32\ntkrnlpa.exe)
Выполнен карантин файла C:\WINDOWS\system32\ntkrnlpa.exe
но потом сообщило вместо перезагрузки Failed to set data for 'DisplayName'
C:\WINDOWS\system32\ntkrnlpa.exe -[B]Trojan.Win32.Patched.au[/B]
лечится касперским и вебом ....
или можно заменить на чистый ...
Приогромнейшее Спасибо!!! Сейчас поменяю на новый. Это по видимому как в случае с ntoskrnl.exe
[size="1"][color="#666686"][B][I]Добавлено через 18 минут[/I][/B][/color][/size]
Надо заменять ntkrnlpa.exe с дистрибутива на чистый.
1. Перегрузить ПК.
2. Во время загрузки держать нажатой кнопку F8 для входа в загрузочное меню Windows XP.
3. Выбрать режим командной строки (Command Prompt).
4. Снова нажать F8.
5. Войти в систему под именем Администратора.
6. выполнить замену expand x:\i386\SP2.CAB\ntkrnlpa.exe y:\windows\system32\ntoskrnl.exe
x - буква CD, y - буква диска с windows xp
вот только я не понял надо набирать ntkrnlpa.exe или ntkrnlpa.ex_
ntkrnlpa.ex_ именно так набирать. Проверь, просмотри сидюк. Можно обычным поиском виндусовым поискать "ntkrnlpa.*"
Извините за наивный вопрос менять надо только тот файл что в папке system32?
Такой файл есть в нижеследующих папках...
C:\WINDOWS\system32
C:\WINDOWS\Driver Cache\i386\sp2.cab
C:\WINDOWS\SoftwaresDistributions\Download\9bc65f43c02cd90276cfdd30f2b6e103\sp2gdr
C:\WINDOWS\SoftwaresDistributions\Download\9bc65f43c02cd90276cfdd30f2b6e103\sp2qfe
C:\WINDOWS\SoftwaresDistributions\Download\a9b05a4d6550fd78fa3f54d851d2d230\sp2gdr
C:\WINDOWS\SoftwaresDistributions\Download\a9b05a4d6550fd78fa3f54d851d2d230\sp2qfe
C:\WINDOWS\Driver Cache - там система сама заменит, но можно ей помочь, вписать файлик и туда.
Остальные - это от установки SP2 и добавок после него.
C:\WINDOWS\system32 поменял а вот C:\WINDOWS\Driver Cache\i386\sp2.cab ни как не получается. там даже нет "вставить" и не перетаскивается...
и не нужно ... новые логи сделайте ...