Я чист?:) Или бацылы еще во мне?:)
Кстати, здесь же на форуме есть тема с рекомендоваными антивирусами. Среди них нет AVZ. Как понять - AVZ - это для экстренных случаев?
Printable View
Я чист?:) Или бацылы еще во мне?:)
Кстати, здесь же на форуме есть тема с рекомендоваными антивирусами. Среди них нет AVZ. Как понять - AVZ - это для экстренных случаев?
Опять оно живо под другим именем!
Выполните такой скрипт:
[code]
begin
ClearQuarantine;
QuarantineFile('c:\windows\system32\msrr.exe','');
DeleteFile('c:\windows\system32\msrr.exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Если что-то попадет в карантин - пришлите.
Удалите строчку с 'c:\windows\system32\msrr.exe' через AVZ - Менеджер ActiveSetup.
IceSword - force delete: C:\WINDOWS\System32\drivers\Gms38.sys
Сразу же скрипт в AVZ:
[code]
begin
BC_DeleteSvc('Gms38');
BC_DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll');
BC_DeleteFile('C:\WINDOWS\System32\drivers\Gms38.sys');
BC_Activate;
RebootWindows(true);
end.[/code]
и новый лог syscheck.
[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]
AVZ - не антивирус, а инструмент воина-освободителя ;)
Бесполезно, судя по-всему...опять в драйверах появляется левый файлик...каждый раз под новым именем, но не сразу после ребута, а спустя какое-то время.
Вот лог.
[url]ftp://ftp.kaspersky.ru/utils/getsysteminfo/GetSystemInfo.exe[/url]
Сделайте ей скан и заархивированный лог прикрепите
ОК. Делаю. У McAfee есть такая цацка, как защита доступа...так вот там можно выставить запрет на запись в папку и если вдруг какой-то процесс попытается писать, то маккафи скажет что это за процесс.
Вот лог.
\??\C:\WINDOWS\System32\drivers\Flq40.sys ("\\?\c:\windows\system32\drivers\flq40.sys") File version = (null), File size = 26240, File modification date = 01/03/2008 14:52, File description = (null), Product Name = (null), Product version = (null), Company name = (null) |-818417260|0x86b6a9522ee523037456dfb7a641d72d|
А Вы на время всех скриптов\удаления Ice Sword-ом интернет отключали? и антивирус?
Интернет не отключал. Антивирус - да, точней у меня его прсото нет. Вот хочу сейчас касперского 7-го поставить.
Интернет нужно отключать
IceSword - force delete: C:\WINDOWS\System32\drivers\flq40.sys
Сразу же скрипт в AVZ:
[code]begin
BC_DeleteSvc('flq40');
BC_DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll');
BC_DeleteFile('C:\WINDOWS\System32\drivers\flq40.sys');
BC_Activate;
RebootWindows(true);
end.[/code]
и новый лог syscheck.
Как я понимаю, все проблемы от svchost.exe
У нас новый гость-блезнец: Djp62.sys
Надо подумать...
svchost.exe можно заменить заведомо здоровым?
Я сейчас поставил проверку в Касперском....посмотрим что он найдет.
Сначала сделайте проверку... svchost.exe по-моему легитимный, с подписями Майкрософта...
[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните[/URL] скрипт в безопасном режиме[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll');
BC_DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll');
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.[/CODE]Загрузите карантин согласно приложению №3 правил.
AVZ => Файл => Мастер поиска и устранения проблем. Категория проблемы - поставьте "Системные проблемы", степень опасности - "Все проблемы". Нажмите "Пуск". Всё найденное следует пометить и пофиксить. Данную операцию повторить для категории "Настройки и твики браузера".
Повторите логи.
После этого проверьте в IceSword'e [url]http://virusinfo.info/showthread.php?t=17228[/url], есть ли файл C:\WINDOWS\system32\WLCtrl32.dll и если есть, удалите, как написано в инструкции (force delete и перезагрузка).
Я грешу на svchost.exe из-за того, что Касперский говорил о том, что этот процесс пытается отправить почту и т. п.
Я правильно понимаю, что в безопасном режиме делается только выполнение скрипта, а остальное уже в обычном режиме?
Я смогу сделать это только 2.03.2008 примерно в 11 часов по Москве...а то и в 12. Надеюсь, здесь будут те, кто сможет помочь.
Спасибо всем, кто помогает и вообще всему проекту:)! Очень выручаете, ребята!
[QUOTE=Ven;195636]Я грешу на svchost.exe из-за того, что Касперский говорил о том, что этот процесс пытается отправить почту и т. п.[/QUOTE]Не надо на него грешить. Он прошел по базе безопасных и рассылал почту не своей воли, а по принуждению зловредного драйвера. Вы всё правильно поняли.
Да, кстати, безопасный режим - с поддержикой сети или без нее?
Без. Однозначно.
Сразу скажу чтоб небыло непонятностей - я на ночь оставлял касперского искать руткиты. Он понаходили кучу вирусов. Если надо - могу лог прислать лог того, чо он нашел. Один файл он удалить не мог (c:\windows\system32\msjq.exe), я удалил его через через IceSword.
Скрипт выполнил в безопасном режиме...комп ушел в нормальный ребут. Я сразу глянул в карантин - там пусто (возможно, касперский постарался).
Проблемы пофиксил.
Логи прикрепил.
Файлика нет.