Да, именно из 27.
Printable View
Да, именно из 27.
не получилось =\, всё заблокировано, наверно систему снесу)
поищите mdm.exe через AVZ - поиск файлов на диске ... (может быть несколько)
пришлите по правилам ...
попробуйте выполнить скрипт из поста 27 ... в сафе мод ..
Профиксить вот это:
[CODE]
F2 - REG:system.ini: Shell=explorer.exe C:\WINDOWS\system\lsass.exe
F2 - REG:system.ini: UserInit=userinit.exe,C:\WINDOWS\system\lsass.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1[/CODE]
Тэээкс с чего бы начать?
[COLOR="DarkRed"][FONT="Comic Sans MS"]V_Bond[/FONT][/COLOR]
1. При поиске фойла [I][U][B]mdm.exe[/B][/U][/I] выдало вот что:
"[COLOR="Red"]Ошибка карантина файла, попытка прямого чтения (mdm.exe)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\mdm.exe)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\system32\mdm.exe)[/COLOR]"
2. В безопастном режиме пробывал всё бесполезно =(
[COLOR="DarkRed"][FONT="Comic Sans MS"]PavelA[/FONT][/COLOR]
1. Нет [U]первых[/U] двух строчек:
[COLOR="Red"]F2 - REG:system.ini: Shell=explorer.exe C:\WINDOWS\system\lsass.exe
F2 - REG:system.ini: UserInit=userinit.exe,C:\WINDOWS\system\lsass.exe[/COLOR]
2. 3ю и 4ю пробывал "Реестр заблокирован Администратором"
П.С. Ой чувствую легче систему переставить))
Включаем AVZPM. перезагружаемся. Делаем логи AVZ.
Как это сделать?
AVZ--->AVZPM--->Установить расширенный драйвер мониторинга процессов?
Если да то когда перезагрузил, и в "Мой компьютер" появилась "системная папка" - "Веб папки".
Она и должна быть всегда.
Делай логи.
Логи ОднакО
выполните скрипт...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\mdm.exe','');
QuarantineFile('C:\WINDOWS\system32\mdm.exe','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил ..
Не встал драйвер AVZPM. Не дают ему это сделать :(
Помоему в карантин ничего не добавилось но на всякий случай пришлю)
C:\WINDOWS\mdm.exe C:\WINDOWS\system32\mdm.exe найдите и скопируйте эти файлы в Far .... и пришлите по правилам...
Ммм... этих файлов нет =(
а просмотр скрытых и ситемных включен ?
Незнаю, как это сделать?
в FAR F9 - настройки панели- показывать скрытые и системные файлы ...
а что такое FAR??
[url]http://www.farmanager.com/download.php?l=ru[/url]
Лана пока разбираюсь, можете отписать пжалста, как снести с флэшки вирус что бы он не перебрался обратно?
[size="1"][color="#666686"][B][I]Добавлено через 10 минут[/I][/B][/color][/size]
Разобрался файлы не нашёл о_0
вообще-то для таких целей и придумали антивирусы ))... о каком вирусе идет речь ?
Есть возможность переставить систему господа, ток мне надо чтоб эта гадость не перебралась туда))
Рифма=)
[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]
ммм... не помню точное название но НОД и Касперский 7 его сносят), вот чтот мне не вериться что НОД его на подлёте схватит, а вирус тот (New Folder.exe) и ещё интересная вещь, флэшка для музыки, и он изменяет в ней Системную папку (Line in заражает что-ли хз)
ваш случай интересен ... поэтому хотелось бы довести лечение до логического завершения ...
Ну да я понимаю, можно сказать "профессиональный интерес", попытаюсь вспомнить название вируса=), торопиться вроде некуда так что я потерплю)
(Снимите защиту с компьютера и за месяцок будет вам ещё и похлеще))
Название вируса можно посмотреть в логах НОДа или Касперского.
Есть еще имя вируса и в карантине.
логи новые сделать под админом . Есть мнение, что под юзером это всё делалось, поэтому и такое чудо;)
[quote=drongo;138290]логи новые сделать под админом . Есть мнение, что под юзером это всё делалось, поэтому и такое чудо;)[/quote]
Ну да делалось под юзером)), но раньше етот юзер был Админом)) Блин хороший вирусняк права Админа сносит=), помоему нельзя что уже либо сделать, ток систему переставить ^^
[size="1"][color="#666686"][B][I]Добавлено через 3 минуты[/I][/B][/color][/size]
[quote=PavelA;138230]Название вируса можно посмотреть в логах НОДа или Касперского.
Есть еще имя вируса и в карантине.[/quote]
ну у меня ток НОД, а в НОДе не пишет название вируса а так общий вид что ли, "модифицированный Win32/Sohanad червь")
[size="1"][color="#666686"][B][I]Добавлено через 13 минут[/I][/B][/color][/size]
Ммм... и ещё как я понял (неизведанным шаманским путём) файл с которого всё начинаеться worm2007.exe =)
[size="1"][color="#666686"][B][I]Добавлено через 23 минуты[/I][/B][/color][/size]
Забыл ещё, просканировал флэшку НОДом там целый клубок червей ))
Попробуй вот это. Раззиповать и два раза кликнуть.
Ыыыы новая партия вирусов??))))
[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]
"Редактирование реестра запрещено Администратором" (что и следовало ожидать)
[QUOTE=V_Bond;138141]C:\WINDOWS\mdm.exe C:\WINDOWS\system32\mdm.exe найдите и скопируйте эти файлы в Far .... и пришлите по правилам...[/QUOTE]
что с этим ?
Нету их =(
запись АДМИНИСТРАТОР у вас сохранилась ?
Да всё есть, но там та же фигня :Р
пробуем так ...
пуск-выполнить-gpedit.msc- конфигурация пользователя-административные шаблоны-система-сделать недоступным средстваредактирования реестра здесь функцию отключить - тогда должен включится реестр .....
пуск-выполнить-gpedit.msc- конфигурация пользователя-административные шаблоны-система-возможности ctr+ alt.+del-удалить диспетчер задач - диспетчер задач должен включиться ....
не получилось, НО!!! на "Администраторе" появились права админа=), но раньше их там не было, ВСЕМ РЕСПЕКТ!)
Под админом не сидеть, а то опять что -нибудь залетит.
Под админом сделать логи! И выполнить скрипт, где ExecuteRepair, вот [url=http://virusinfo.info/showpost.php?p=137852&postcount=27]отсюда[/url].
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]6[/B][*]Обработано файлов: [B]27[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\program files\\askpbar\\srchastt\\1.bin\\a9srchas.dll - [B]not-a-virus:WebToolbar.Win32.MyWebSearch.bj[/B][/LIST][/LIST]