-
выполните скрипт ...
[code]
begin
RegKeyIntParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Hardware Profiles\0001\System\CurrentControlSet\Enum\ROOT\LEGACY_Rwa03\0000', 'CSConfigFlags', '1');
BC_QrFile('C:\WINDOWS.0\System32\Drivers\Rwa03.sys');
BC_DeleteSvc('Rwa03');
BC_DeleteFile('C:\WINDOWS.0\System32\Drivers\Rwa03.sys');
BC_LogFile(GetAVZDirectory + 'boot_clr_rntm31.log');
BC_Activate;
RebootWindows(true);
end.
[/code]
затем повторите лог ... virusinfo_syscheck.zip
-
Вложений: 1
-
выполните скрипт ....
[code]
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
StopService('smtpdrv');
QuarantineFile('C:\WINDOWS.0\system32\DRIVERS\smtpdrv.sys','');
QuarantineFile('C:\WINDOWS.0\0\system32\ntoskrnl.exe','');
DeleteFile('C:\WINDOWS.0\system32\DRIVERS\smtpdrv.sys');
BC_DeleteSvc('smtpdrv');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил ...
-
"1. Запустите AVZ, выберите из меню "Файл" - >"Просмотр карантина"".
"2-Справа в списке файлов отметьте те файлы которые нужно выслать".
- это окно у меня пустое..... что с ним делать? что там нужно отметить если ничего нет?
Скрипт выполнил.
Приложение 2 ???
В верхнее окно я пишу файлы;
C:\WINDOWS.0\system32\DRIVERS\smtpdrv.sys
C:\WINDOWS.0\0\system32\ntoskrnl.exe
"Пуск" -
В "Протоколе"
- Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS.0\system32\DRIVERS\smtpdrv.sys)
"Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS.0\0\system32\ntoskrnl.exe)
Карантин с использованием прямого чтения - ошибка"
Просмотр карантина - пустое окно????
-
повторите лог ... virusinfo_syscheck.zip
-
Вложений: 1
-
почти все хорошо ....
C:\WINDOWS.0\0\system32\ntoskrnl.exe попробуйте найти при помощи авз - сервис - поиск файлов на диске .... ( если не будет добавлятся в карантин значит все вообще замечательно) ... и прислать по правилам ...
-
Вот что получилось:
Поиск файлов по маске C:\WINDOWS.0\0\system32\ntoskrnl.exe
Поиск файлов завершен
Просмотрено 48501, найдено 0
Соответственно копировать в карантин нечего - что это значит?
-
такого не может быть ... если бы не было файла ntoskrnl.exe система не работала бы ...
-
Да нет всё верно
Когда в окне поиска полный путь - C:\WINDOWS.0\0\system32\ntoskrnl.exe - ничего не находит
Когда - ntoskrnl.exe - (галочу на "Добавить к списку"?) - 2 результата -
C:\WINDOWS.\system32\ntoskrnl.exe
C:\WINDOWS.0\system32\ntoskrnl.exe
Т.е. - \0\ - в пути нет.
Ставлю галочку - "Копировать отмеченые файлы в карантин" - на второй - и ничего не происходит.
-
Значит, этот числится в базе безопасных.
Надо Олега сюда позвать. IMHO, эта система провоцирует AVZ на глюки с путями на основе %SystemRoot%.
-
Так что дальше делать то?
В принципе скачаный Др.Веб помог избавиться от приложения из-за которого винд либо вообще не загружался полносьтю либо часа через 2 - иф не ошибаюсь (vhosts.exe) - когда с самого начала перманентная 100% загрузка процессора, а вместо стрелки-курсора песочные часики и сплошной тормоз.
А благодаря вчерашним действиям avast - больше не выдает сообщение об Агенте.
Может на этом и успокоиться .... пока?
В таком случае огромное спасибо всем кто проявил участие.
-
да похоже все чисто ....
как понимать это ? ( может вы нам объясните?) у вас несколько систем на диске ?
C:\WINDOWS.\system32\ntoskrnl.exe
C:\WINDOWS.0\system32\ntoskrnl.exe
C:\WINDOWS.0\0\system32\ntoskrnl.exe
-
Третье - это однозначно глюк AVZ. Вот первое - да, интересно. Если соответствует действительности, то это и есть источник глюка.
-
Итог лечения
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]14[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]
Page generated in 0.00487 seconds with 10 queries