Не забудьте выполнить скрипт из поста #7 и прислать карантин.
Printable View
Не забудьте выполнить скрипт из поста #7 и прислать карантин.
[QUOTE=Bratez;100459]Понятно, Ваша проблема не от этого, просто попутно выявилось :)
Диски через "Мой компьютер" нормально открываются?[/QUOTE]
без проблем
Хорошо, с авторанами вопрос закрыт.
Искомый карантин нашел, прошу прощения.
Проверил - там чисто, будем дальше думать.
есть у кого-нибудь ещё идеи?
Сделайте пожалуйста новые логи.
У Вас есть ещё браузер кроме IE? Как Вы сейчас зашли на наш форум?
Посмотрел в карантине autorun.bat
Пытается чего-то вписать в реестр. То, что вписывали лежало в autorun.reg. Теперь его не увидишь.
Если не выходит запустить autorun.bat, то пытается запустить autorun.vbs
Его тоже удалили. Может погорячились?? :-)
[b]windrvNT.sys[/b] - VBA32 3.11.2 03.19.2007 Trojan.NtRootKit.131
Он единственный определил.
Такую программу как Folder Lock используете?
auturun.* удаляли из AVZ, а то тот что с иероглифами может и не удалиться.
Для образования: [url]http://forum.drweb.com/viewtopic.php?t=4494[/url]
Про него пишут.
[quote=MaXim;100511]Сделайте пожалуйста новые логи.
У Вас есть ещё браузер кроме IE? Как Вы сейчас зашли на наш форум?[/quote]
Работаю в Опере есть ещё Firefox
Folder Lock установлен
auturun.* удалил тотал командером делал несколько перезагрузок не появляются (тьфу-тьфу)
[QUOTE]Работаю в Опере есть ещё Firefox[/QUOTE]В них тоже такая проблема как в IE?
в них идеально, их ничего не берёт
[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните[/URL] скрипт в AVZ
[CODE]begin
BC_DeleteSvc('windrvNT');
BC_LogFile(GetAVZDirectory + 'boot_clr.log');
BC_Activate;
RebootWindows(true);
end.[/CODE]
К следующему сообщению прикрепите файл bclr.log из папки AVZ.
Запустите AVZ. Сервис - Поиск данных в реестре. Введите "autorun" без каывчек. По окончании поиска сохраните протокол и тоже прикрепите к своему сообщению.
Потом AVZ - Файл - Восстановление системы - пункт №4 - Выполнить отмеченные операции
всё выполнил
кому интересно поглядеть, может визуально кто узнает
[B]PavelA[/B], Вам пять!
[B]graphh[/B], Запустите повторный поиск как я писал выше. По окночании поиска выберите закладку "Найденные ключи" отметьте
[CODE]HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\Z\Shell\AutoRun\ =
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\Z\Shell\AutoRun\command\ =
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\Z\Shell\explore\Command\ = WScript.exe .\autorun.vbs
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\Z\Shell\open\Command\ = WScript.exe .\autorun.vbs
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{35a67910-2ee7-11db-83eb-00e091084a32}\Shell\AutoRun\ =
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{35a67910-2ee7-11db-83eb-00e091084a32}\Shell\AutoRun\command\ =
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{35a67910-2ee7-11db-83eb-00e091084a32}\Shell\explore\Command\ = WScript.exe .\autorun.vbs
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{35a67910-2ee7-11db-83eb-00e091084a32}\Shell\open\Command\ = WScript.exe .\autorun.vbs
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{4f9806b1-8615-11d9-8392-806d6172696f}\_Autorun\ =
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{4f9806b1-8615-11d9-8392-806d6172696f}\_Autorun\DefaultIcon\ =
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{4f9806b1-8615-11d9-8392-806d6172696f}\_Autorun\DefaultIcon\ = D:\Autorun.exe,0
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{53cc2640-229f-11d9-a3bc-806d6172696f}\_Autorun\ =
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{53cc2640-229f-11d9-a3bc-806d6172696f}\_Autorun\DefaultIcon\ =
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{bff18610-3e29-11da-8158-00e091084a32}\_Autorun\ =
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{bff18610-3e29-11da-8158-00e091084a32}\_Autorun\DefaultIcon\ =
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{c22448e2-aad8-11db-8e95-83443781f814}\Shell\AutoRun\ =
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{c22448e2-aad8-11db-8e95-83443781f814}\Shell\AutoRun\command\ =
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{c22448e2-aad8-11db-8e95-83443781f814}\Shell\explore\Command\ = WScript.exe .\autorun.vbs
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{c22448e2-aad8-11db-8e95-83443781f814}\Shell\open\Command\ = WScript.exe .\autorun.vbs
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{c22448e3-aad8-11db-8e95-83443781f814}\Shell\AutoRun\ =
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{c22448e3-aad8-11db-8e95-83443781f814}\Shell\AutoRun\command\ =
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{c22448e3-aad8-11db-8e95-83443781f814}\Shell\explore\Command\ = WScript.exe .\autorun.vbs
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{c22448e3-aad8-11db-8e95-83443781f814}\Shell\open\Command\ = WScript.exe .\autorun.vbs
[/CODE]и нажмите удалить отмеченные ключи. Перезагрузитесь.
[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните[/URL] скрипт в AVZ
[CODE]begin
ExecuteRepair(1);
ExecuteRepair(8);
RebootWindows(true);
end.[/CODE]
Повторите логи и поиск. Надеюсь это последний этап.
[QUOTE]кому интересно поглядеть, может визуально кто узнает[/QUOTE]Кошмар! Я бы у себя ни когда такого не допустил.
[QUOTE=MaXim;100544]Кошмар! Я бы у себя ни когда такого не допустил.[/QUOTE]
Я же не один на компе работаю, за всеми не уследишь
[QUOTE]Я же не один на компе работаю, за всеми не уследишь[/QUOTE]Windows многопользовательская система-это раз, запретить в файрволе любую активность для IE-это два и настройки файрвола под пароль-это три :) Выполняли мои рекомендации?
всё сделал.... проблема осталась
[URL="http://www.virusinfo.info/showthread.php?t=4491"]"пофиксите"[/URL] в HijackThis [CODE]O4 - Global Startup: BTTray.lnk = ?
O9 - Extra button: (no name) - DctMapping - (no file)[/CODE]
Больше приципиться не к чему :(