amvo

Printable View

Показывать 40 сообщений этой темы на одной странице

31.03.2008, 21:50
alexsmf

Так получилось, высылаю.

PS точку с запяотй вирусом смыло (c)
31.03.2008, 23:13
Alex Plutoff

[quote=alexsmf;208938]Так получилось, высылаю.[/quote]-получилось, да не так... т.е. сам карантин то есть, но вот содержимого runas.exe в нем нет... ведь єтот скрипт даже C:\WINDOWS\explorer.exe в карантин помещает... ну, а это значит одно из двух, - либо runas.exe
уже нет по указанному адресу, либо он очень хорошо защищается от AVZ

[quote=alexsmf;208938] PS точку с запяотй вирусом смыло (c)[/quote]-пепел между клавиш попал (С) :)
31.03.2008, 23:18
alexsmf

в папке C:\WINNT\system32 есть runas.exe (
01.04.2008, 00:19
Rene-gad

[QUOTE=alexsmf;208979]в папке C:\WINNT\system32 есть runas.exe ([/QUOTE]
так поместите же его в карантин ([URL="http://virusinfo.info/showthread.php?t=1235"]Правила Приложение 2[/URL]) и закачайте его ([URL="http://virusinfo.info/showthread.php?t=1235"]Правила Приложение 3[/URL])
01.04.2008, 11:51
alexsmf

ситуация следующая:
поместить в карантин runas.exe получается только выполнив последний скрипт, выслал его вам.
в папке system32 он до сих пор есть.
01.04.2008, 12:01
Rene-gad

[QUOTE=alexsmf;209125]поместить в карантин runas.exe получается только выполнив последний скрипт, выслал его вам.
.[/QUOTE]
Файл в карантин не попал, попал только *.ini. Скопируйте файл куда-нибудь (напр. на десктоп) и закачайте согласно приложениям 2 и 3 Правил.
01.04.2008, 13:04
alexsmf

закачал файл runas.exe в архиве
01.04.2008, 13:11
Rene-gad

[QUOTE=alexsmf;209155]закачал файл runas.exe в архиве[/QUOTE]Чистый он, оригинальный от Мелкомягких. Еще какие-то проблемы есть?
01.04.2008, 20:34
alexsmf

к сожалению да, amvo не изчез, опять не вижу скрытых файлов((
наверное все флешки были заражены. щас протестю антивирусом еще разок

как защитить комп от вируса на флешке?
01.04.2008, 20:53
V_Bond

[url]http://virusinfo.info/showthread.php?t=20291[/url]
01.04.2008, 23:36
alexsmf

Вложений: 3

еще раз выполнил первоначальные действия, вот логи.
01.04.2008, 23:45
wise-wistful

Выполните в АВЗ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\DOCUME~1\User\LOCALS~1\Temp\SANDRA.sys','');
RegKeyDel('HKLM','SOFTWARE\Microsoft\Code Store Database\Distribution Units\{33331111-1131-1111-1111-611111193428}');
RegKeyDel('HKLM','SOFTWARE\Microsoft\Code Store Database\Distribution Units\{33331111-1111-1111-1111-615111193427}');
RegKeyDel('HKLM','SOFTWARE\Microsoft\Code Store Database\Distribution Units\{33331111-1111-1111-1111-611111193429}');
RegKeyDel('HKLM','SOFTWARE\Microsoft\Code Store Database\Distribution Units\{33331111-1111-1111-1111-611111193423}');
QuarantineFile('C:\mvxm.cmd','');
QuarantineFile('C:\autorun.inf','');
QuarantineFile('C:\WINNT\system32\amvo1.dll','');
QuarantineFile('C:\WINNT\system32\amvo0.dll','');
QuarantineFile('C:\WINNT\system32\amvo.exe','');
DeleteFile('C:\WINNT\system32\amvo.exe');
DeleteFile('C:\WINNT\system32\amvo0.dll');
DeleteFile('C:\WINNT\system32\amvo1.dll');
DeleteFile('C:\autorun.inf');
DeleteFile('C:\mvxm.cmd');
DeleteFile('D:\autorun.inf');
DeleteFile('D:\mvxm.cmd');
DeleteFile('G:\autorun.inf');
DeleteFile('G:\mvxm.cmd');
DeleteFile('H:\autorun.inf');
DeleteFile('H:\mvxm.cmd');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(6);
ExecuteRepair(8);
BC_Activate;
RebootWindows(true);
end.[/code]
Загрузите карантин согласно приложения 3 правил.
Повторите логи.
02.04.2008, 00:04
alexsmf

Вложений: 3

новые логи
02.04.2008, 00:11
Rene-gad

[QUOTE=alexsmf;209380]как защитить комп от вируса на флешке?[/QUOTE]запуститесь с Линукса-Live-CD (Knoppix, Mandriva etc.) и форматните все Ваши флешки под FAT32. Предварительно Вы можете перенести важную информацию напр. на компактдиск или чистую флешку.
02.04.2008, 00:15
alexsmf

[quote=Rene-gad;209472]запуститесь с Линукса-Live-CD (Knoppix, Mandriva etc.) [/quote]
простите за безграмотность, это как?
02.04.2008, 00:22
wise-wistful

SANDRA.sys - это Вам знакомо? Остальных удалили. Кстати все новые. Вы отключали автозапуск с флешек?
02.04.2008, 00:25
Rene-gad

[QUOTE=alexsmf;209474]простите за безграмотность, это как?[/QUOTE]скачиваем ISO-файл дистрибутива [url]http://www.knopper.net/knoppix-mirrors/index-en.html[/url] или [url]http://cgi.zdnet.de/c/?s=32&t=http%3A%2F%2Fwww.zdnet.de%2Fdownloads%2Fprg%2Fe%2Fn%2FdeVCEN_is-wc.html[/url] - язык системы можно выбрать при запуске, делаем компакт диск, вставляем в CD-драйв, перегружаемся, грузимся с CD, оказываемся в Линуксе, который этих зверей не боится.
Делаем , что надо, перегружаем ПК, загрузку с компактдиска не производим При этом запускается Винда, как обычно.
[QUOTE=wise-wistful;209479]SANDRA.sys - это Вам знакомо? [/QUOTE]
Угу, знакомо ;)
[url]http://www.softwaretipsandtricks.com/sys/1148-Sandrasys.html[/url]
02.04.2008, 00:35
alexsmf

sandra.sys не знакомо
не отключал, я их пока никуда в другие места не вставлял, они щас подключены к компу и тоже лечатся))

sandra.sys это вроде тест, или я ошибаюсь?

[size="1"][color="#666686"][B][I]Добавлено через 9 минут[/I][/B][/color][/size]

можно ли теперь считать вирус побежденным?
02.04.2008, 09:47
wise-wistful

Я же говорил, то врагов в логах нет. Как система поживает?
03.04.2008, 19:08
alexsmf

Спасибо, ребята! Все хорошо!!!

Показывать 40 сообщений этой темы на одной странице