Спасибо за свет в конце тоннеля панель управления и отключение восстановление системы появилось. Выслал карантин сделал логи
Printable View
Спасибо за свет в конце тоннеля панель управления и отключение восстановление системы появилось. Выслал карантин сделал логи
Но прежде всего конечно профиксил как вы указали и выполнил тот предыдущий скрипт.
пофиксите ...
[code]
O4 - HKUS\S-1-5-18\..\Run: [userinit] C:\WINDOWS\system32\ntos.exe (User 'SYSTEM')
O20 - AppInit_DLLs: murka.dat
[/code]
выполните скрипт ...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('msupdate');
DeleteService('wincom32');
DeleteService('windev-7a11-1dbf');
DeleteFile('c:\windows\medichi.exe');
DeleteFile('c:\windows\medichi2.exe');
DeleteFile('c:\windows\system32\ntos.exe');
DeleteFile('C:\WINDOWS\system32\users32.dat');
DeleteFile('C:\WINDOWS\murka.dat');
DeleteFile('C:\WINDOWS\system32\windev-7a11-1dbf.sys');
DeleteFile('C:\WINDOWS\system32\wincom32.sys');
DeleteFile('c:\windows\system32\msvcrtd.exe');
DeleteFile('C:\WINDOWS\System32\Drivers\Beep.SYS');
BC_DeleteSvc('msupdate');
BC_DeleteSvc('Beep');
BC_DeleteSvc('wincom32');
BC_DeleteSvc('windev-7a11-1dbf');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
повторите логи ...
Cпасибо.выполнил предписания и сделал логи
вы отключаете антивирус перед выполнением скрипта .... ?
обновите базы авз !!!
Aнтивирус отключен.disabled protection -может дезинсталировать его? обновление баз -в процессе появляется тот же error loading [21,00002EFD].Спасибо
[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]
а что собственно наблюдается у вас?
[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]
Вопрос имеет ли значение с какой учетной записи выполняется скрипты и тп? обязательно требуется это делать с учетной записи админа компа ?
скрипт только под админом ( с правами админа)....
обновления можно скачать [url]http://z-oleg.com/secur/avz_up/avzbase.zip[/url] (вся база целиком)
Админ отключил восстановление системы и антивирус -остальное делалось с ограниченной учетной записи.. так как сейчас быть?
скрипты с ограниченной учетной записи почти бессильны ...
Так повторить последний скрипт с учетной записи админа?А логи тоже?
все лечение нужно віполнять с правами администратора ...
Авз запускается с ограниченной учетной записи
[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]
Ок.так что делать щас с учетной записи админа? спасибо
давайте выполним скрипт из поста 23 и новые логи ...
Выполнил скрипт и вот новые логи
Вот только не понял как при отключенном антивирусе он отреагировал на HiJackthis как на содержащего malware..? Спасибо
Ну вот, что значит права админа. Профиксите
[code]O20 - AppInit_DLLs: murka.dat[/code]
Это Вам знакомо [b]Documents and Settings\Tania\Menu Start\Programy\Autostart\oespyldb.exe[/b]
[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]
hijackthis.log - повторите.
Спасибо !!Лед тронулся-вроде невижу этого ntosa заработала аська и остальные-Дай Бог вам здоровья! То \oespyldb.exe знакомо как MDos на старте.Но вроде murka.dat не вижу в Windows?
[size="1"][color="#666686"][B][I]Добавлено через 3 часа 36 минут[/I][/B][/color][/size]
А профиксить и HijACKTHIS лог вложить тоже надо с учетной записи админа?
Спасибо!
[size="1"][color="#666686"][B][I]Добавлено через 34 минуты[/I][/B][/color][/size]
МОЛОДЦЫ РЕБЯТА!!! ПОЛГОДА КАК ДОСТАЛ ЭТОТ NTOS. НЕ УЗНАЮ КОМПА -НЕ ВЫЛАЗИТЬ ALERT,РАБОТАЮТ ВСЕ КОММУНИКАТОРЫ..благодарю!!
При фикс.Hijackhis`ом появилось сообщение что отказ доступа to hosts file.Что HiJack не может фиксовать этот файл.И что надо самому edit : start run notepad C:\Windows\System32\drivers\etc\hosts
и find the lin(es) HiJackthis reports and delete them.Save the file as "hosts"(with quotes) and reboot.
И одновременно отключен антивирус выдает сообщение что hosts это какая то malware.
Вложил лог.
В этом логе кроме oespyldb.exe ничего подозрительного не видно.
Файл hosts можно очистить в AVZ таким скриптом:
[code]begin
ClearHostsFile;
end.[/code]
Хотя по логам необходимости в этом не просматривается.
И логи повторять не надо?Можно включить восстановление системы?
А ничего нет зловредного когда зависает загрузка учетнай записи админа компа при невыключенной записи огр.пользователя?
THX
[size="1"][color="#666686"][B][I]Добавлено через 4 минуты[/I][/B][/color][/size]
Извиняюсь за simplicitas а чего так много просмотров по нашей теме?
[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]
Так hosts и
oespyldb.exe это то же самое?
1 восстановление системы включать можно
2 hosts и oespyldb.exe не одно и тоже ....
3
[code]
зависает загрузка учетнай записи админа компа при невыключенной записи огр.пользователя
[/code]
не понял .... это при быстром переключении пользователей ?