Логи-то AVZ сделайте по правилам, из-под администратора :)
Printable View
Логи-то AVZ сделайте по правилам, из-под администратора :)
при запуске полиморфного avz под админом, сейчас выдаёт такую ошибку:
"Access violation at address [B]004AE082[/B] in module "ckwejf.pif". Read of address 00000030"
после нажатия ОК:
"Access violation at address [B]004A3F9C[/B] in module "ckwejf.pif". Read of address 00000030"
[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]
[B]NickGolovko[/B], всё что удалось сделать, сразу выкладываю
пока только один лог
Напоминает файловый вирус, что мне уже совсем не нравится.
Загрузите тот файл полиморфа, что у вас имеется сейчас, в архиве с паролем virus по ссылке отправки карантина, после чего попробуйте перезакачать полиморф, переименовать тем же образом, запустить с тем же ключом и добыть логи.
Если с логами никак, попытайтесь хотя бы выполнить скрипт восстановления системы №10 и немедленно перезагрузиться в безопасный режим.
[B]NickGolovko[/B],
извиняюсь, не туда ткнул =)
Уже лучше :) Сейчас подготовлю скрипт, а вы пока займитесь подготовкой нового полиморфа и загрузкой старого. :)
[size="1"][color="#666686"][B][I]Добавлено через 7 минут[/I][/B][/color][/size]
Скрипт:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\drivers\KORXPWQT.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\iqfvs.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\fciekvesm.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\fpeglop.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\sfc.SYS','');
QuarantineFile('C:\DOCUME~1\123\LOCALS~1\Temp\init.exe','');
DeleteFile('C:\DOCUME~1\123\LOCALS~1\Temp\init.exe');
DeleteFile('C:\WINDOWS\System32\Drivers\sfc.SYS');
DeleteFile('C:\WINDOWS\system32\drivers\fpeglop.sys');
DeleteFile('C:\WINDOWS\system32\drivers\fciekvesm.sys');
DeleteFile('C:\WINDOWS\system32\drivers\iqfvs.sys');
DeleteFile('C:\WINDOWS\system32\drivers\KORXPWQT.sys');
DeleteFile('C:\WINDOWS\system32\msvcrt57.dll');
BC_ImportALL;
BC_QrSvc('KORXPWQT');
BC_QrSvc('haizicwcwizjxn');
BC_QrSvc('ffbvlzixymea');
BC_QrSvc('bhkjzuf');
BC_DeleteSvc('KORXPWQT');
BC_DeleteSvc('haizicwcwizjxn');
BC_DeleteSvc('ffbvlzixymea');
BC_DeleteSvc('bhkjzuf');
ExecuteSysClean;
ExecuteRepair(10);
BC_Activate;
RebootWindows(true);
end.
[/CODE]
[size="1"][color="#666686"][B][I]Добавлено через 8 минут[/I][/B][/color][/size]
P.S. У вас есть учетная запись В Контакте или на Одноклассниках?
[QUOTE='NickGolovko;465910']после чего попробуйте перезакачать полиморф, переименовать тем же образом, запустить с тем же ключом[/QUOTE]
та же ошибка.
скачивал новый, переименовывол по другому, запускал с ключем.
Ошибка та же.
[QUOTE='NickGolovko;465910']выполнить скрипт восстановления системы №10[/QUOTE]
это как? и где?
[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]
[QUOTE='NickGolovko;465921']P.S. У вас есть учетная запись В Контакте или на Одноклассниках? [/QUOTE]
комп который мы лечим, не мой. У того кто за ним работает, есть учетная запись вконтакте, думаю в одноклассниках тоже есть.
если вопрос личный - то у меня тоже есть уч. з. вконтакте =)
[size="1"][color="#666686"][B][I]Добавлено через 5 минут[/I][/B][/color][/size]
[B]NickGolovko[/B],
[QUOTE]begin
ExecuteRepair(10);
RebootWindows(true);
end.[/QUOTE]
вот это 10 скрипт?
если да - то как я его запущу, если у меня не запускается avz никак?
А если переложить полиморф, например, в корень диска? У вас, как я вижу, в пути к файлу есть буквосочетание "avz".
[B]NickGolovko[/B],
вы писали: [url]http://virusinfo.info/showpost.php?p=98776&postcount=29[/url]
может вручную сделать это как то можно?
[size="1"][color="#666686"][B][I]Добавлено через 11 минут[/I][/B][/color][/size]
[B]NickGolovko[/B],
запустился полиморфный AVZ с ключем AM=Y, причем из под пользователя
что делать?
вытащил лог проверки
запускать тот скрипт который вы написали???
[QUOTE='Vitus.virusinfo;465941']комп который мы лечим, не мой. У того кто за ним работает, есть учетная запись вконтакте, думаю в одноклассниках тоже есть.[/QUOTE]
Спросите, не загружались ли в последнее время из этих социальных сетей какие-либо приложения.
[size="1"][color="#666686"][B][I]Добавлено через 32 секунды[/I][/B][/color][/size]
Да, запускайте скрипт.
[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]
Желательно из-под администратора
[B]NickGolovko[/B],
[QUOTE='NickGolovko;465990']Желательно из-под администратора [/QUOTE]
уж запустился из под юзера, дак не буду закрывать, а то опять не запуститься :D
ща сделаю скрипт ваш
Из-под пользователя вряд ли что-то удалится :) ну ладно, пробуйте как есть. Потом попытайтесь загрузиться в безопасном режиме.
[B]NickGolovko[/B],
ПОЛУЧИЛОСЬ!!! :094:
завис при перезагрузке (пришлось жестко), но загрузился в безопасном.
Запустил на проверку CureIt'ом
На счет приложений из соц. сетей, говорит не грузила ничего.
[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]
кстати после перезагрузки AVZ (обычный) из под юзера запустился без проблем
так что скриптик что надо :beer:
[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]
[QUOTE='NickGolovko;465990']Спросите, не загружались ли в последнее время из этих социальных сетей какие-либо приложения.[/QUOTE]
а что вы там увидели, расскажите?
Воровство паролей от социальных сетей я увидел :) поэтому так охочусь за карантином. Новых приложений В Контакте пользователь тоже не добавлял? После проверки в безопасном пробуйте грузиться в обычном, входить как админ и выполнять тот же скрипт еще раз. Потом пришлите образовавшийся карантин.
[B]NickGolovko[/B],
нет, приложений не добавляла, но приходило сообщение от подруги спамерское,
типо со ссылкой на сайт знакомств.
к сожалению она его удалила.
было ещё одно сообщение:
[B][I]" приветик . тут узнали про акцию, получили голоса бесплатно
[url]http://vkontakte.ru/note13890808_7485619[/url] "[/I][/B] [COLOR="Red"](СПАМ)[/COLOR]
может и отсюда
Проверил всё что можно было.
CureIt в безопасном режиме удалил 5 вирусов.
Держите последние логи и карантин
Компу гораздо полегчало...
Несколько раз вываливался синий экран
Итак, обычная AVZ запускается. Это хорошо.
Загрузите тогда последнюю версию (4.32) и сделайте еще раз лог syscure. Я так и не понял, ушел sfc.sys или нет; нужно удостовериться.
И уберите наконец из системы драйвер от Касперского :)
[B]NickGolovko[/B],
продолжаем =)
sfc помоему остался, как это проверить?
[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]
как убрать всё что от касперского?
[QUOTE='Vitus.virusinfo;467500']sfc помоему остался, как это проверить?[/QUOTE]
[QUOTE='NickGolovko;466358']Загрузите тогда последнюю версию (4.32) и сделайте еще раз лог syscure. [/QUOTE]
:)
[QUOTE='Vitus.virusinfo;467500']как убрать всё что от касперского?[/QUOTE]
Посмотрите в Autoruns. Что найдете - отключите, сняв галочку.