Printable View
Выполнить скрипт:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\mrrt.dll','');
QuarantineFile('Norton Ghost.sys','');
BC_deleteSvc('Norton Ghost');
DeleteFile('C:\WINDOWS\system32\mrrt.dll');
BC_Importall;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
Прислать карантин.
ОФФ: Дошел до 4000 сообщений.
Я прислал логи.
куда ?
Что такое "ОФФ: Дошел до 4000 сообщений"- это для меня информация?
нет не для вас ...
PavelA - поздравляю :)
Нет карантин еще не послал, прошу прощения, не сориентировался в кнопках.
так , логи сюда ... карантин по ссылке над темой ....
Высылаю последний карантин, после выполнения скрипта из сообщения 21. Кстати, я увидел что скрипт этот- на поиск и удаление некоего "Norton Ghost".Так вот, этот NortGhost реально мешает, т.е. при кликаньи правой кнопкой на свойства любого из логических дисков выскакивает сообщение "Wait whail windows configures Norton Ghost 9.0" и пока его 3 раза не закроешь, не выдает следующее окно. Это проявление вируса? Все того же, или какого-то другого?
[[color=#CC0000]moderated: карантин присылается в соответствии с приложением 3 правил[/color]]
НУ!!! А зачем его сюда. Читай внимательно №27 [url]http://virusinfo.info/showpost.php?p=194429&postcount=27[/url]
Извиняюсь, поторопился. Теперь закачал.
[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]
Не судите строго- первый раз на вашем форуме! :-)
Да, я так любя ;)
[size="1"][color="#666686"][B][I]Добавлено через 8 минут[/I][/B][/color][/size]
'C:\WINDOWS\system32\mrrt.dll'
Win32.HLLW.Autoruner.1219 - по Доктору
Worm.Win32.AutoRun.byt - по Касперскому.
Флешки надо проверять все и автозапуск с них желательно отключить.
Ждем логов после лечения.
Последние логи после лечения. Кстати "Norton Ghost" так и не пропал. Видимо его надо как-то по-другому убирать.
На флэшке вирус не появляется пока, но есть одно "но". Я увидел в скрипте 21 поиск файла mrrt.dll, в system32. Вообщем я залез туда, упорядочил файлы по размеру, скопировал на флэшку все файлы размером 112КБ, (их оказалось 9шт., включая два с расш.exe, и один с расш.ocx. Файл mrrt.dll тоже попал туда, и еще один "бледный" файл, который называется imm3b.dll. Проверил флешку лицензионным Касперским, с обновленными базами, и он показал, что эти 2 файла -вирус. Что делать теперь- после лечения mrrt.dll исчез а imm3b.dll -то остался?
А что Касперский imm3b.dll не удалил?
Тогда можно через поиск в AVZ засунуть его в карантин и загрузить сюда (по Правилам), а потом оттуда же, из AVZ его и удалить.
Касперский с флешки удалил, но он же у меня на рабочем, в system32. Сейчас попробую через AVZ из sys32 удалить.
[size="1"][color="#666686"][B][I]Добавлено через 10 минут[/I][/B][/color][/size]
Послал карантин.
Это оно же. Worm.Win32.AutoRun.byt
Надо рабочую проверить либо триалом Касперского, либо CureIt.
Скорее всего еще хвосты остались незадействованные.
Ну этот файл можно удалять?
Естественно. Без откладывания дел в долгий ящик.
Удалил, проверили Доктором последним, вроде ничего. Ну спасибо. До следующего вируса! :-)
Советуем прочитать [URL="http://security-advisory.virusinfo.info/"]электронную книгу[/URL] "Безопасный Интернет. Универсальная защита для Windows ME - Vista".
Вы можете нас отблагодарить, [URL="http://www.virusinfo.info/showthread.php?t=3519"]оказав нам помощь в сборе базы безопасных файлов[/URL]. Мы будем Вам очень благодарны!
Удачи!