Printable View
LiveCD найти не смог, буду благодарен если дадите ссылку.
Загрузил консоль восстановления - грохнуть Scmn41.sys еще раз, однако на диске его не обнаружил.
Логи отправляю.
В перечне драйверов он присутствует, но: как проверить, это линк на несуществующий файл, или он таки есть?
Руткит этот мертв. Просто остался раздел в реестре принадлежащий ему.
З.Ы. То же самое можно проделать и с asc3550u.sys:
[CODE]begin
BC_DeleteSvc('Scmn41');
BC_DeleteSvc('asc3550u');
BC_Activate;
RebootWindows(true);
end.[/CODE]
Делайте скрипт, что ниже моего. Если не поможет, то мой :)
можно попробовать вот так из AVZ:
[CODE]begin
RegKeyDel('HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\','Scmn41');
RegKeyDel('HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\','asc3550u');
end.[/CODE]
[QUOTE]В перечне драйверов он присутствует, но: как проверить, это линк на несуществующий файл, или он таки есть?[/QUOTE]
Пока он был жив, в перечне драйверов его не было видно, только в модулях пространства ядра... Так что поздравляю с победой!
Спасибо :)
И прежде всего за помощь - без вашей помощи ее (победы) точно бы не было.
Скрипт Павла выполнил.
Зашел через консоль - грохнуть asc3550u.sys - не нашел такого (есть только asc355.sys).
Логи в аттаче.
Что дальше делать?
Оба по-прежнему видны в драйверах.
Надо выполнить скрипт [B]vaber[/B]'a и лог еще разок.
вот бесплатный live cd [url]http://www.izcity.com/lib/18012005/Bart_PE_Builder_3_1_3.htm[/url]
Извините за задержку с ответом - небольшой цейтнот на работе.
Спасибо за линк, правда собрать еще не успел.
Скрипт отработал, лог в аттаче.
Прогресс есть, или не очень?
повторите лог еще раз.... и будем знать точно нужен live cd или обойдемся подручными средствами..
Опа...
Извините, лог потерялся.
Отправляю.
похоже победили.... :) следов нет ..
Неужели - все?!!
не верится ? :)
Честно говоря, не очень :)
Как я могу вас всех отблагодарить?
Советуем прочитать [URL="http://security-advisory.newmail.ru/"]электронную книгу[/URL])"Безопасный Интернет. Универсальная защита для Windows ME - Vista".
Вы можете нас отблагодарить,[URL="http://www.virusinfo.info/showthread.php?t=3519"]оказав нам помощь в сборе базы безопасных файлов.[/URL] Мы будем Вам очень благодарны!
Уважаемые,
спасибо вам огромное за помощь и науку :)
Книжку скачал, почитаю обязательно,
файл ща соберу и отправлю.
Спасибо вам, и удачи!
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]5[/B][*]Обработано файлов: [B]41[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\documents and settings\\all users\\документы\\settings\\bot.dll - [B]Trojan-Proxy.Win32.Xorpix.bk[/B] (DrWEB: BackDoor.Bech)[*] c:\\program files\\winable\\winable.exe - [B]Trojan-Downloader.Win32.Adload.lj[/B] (DrWEB: Trojan.Rond)[*] c:\\windows\\spooldr.exe - [B]Email-Worm.Win32.Zhelatin.jb[/B] (DrWEB: Trojan.Packed.142)[*] c:\\windows\\system32\\drivers\\tcpip.sys - [B]Trojan.Win32.Patched.ao[/B] (DrWEB: BackDoor.Groan)[*] c:\\windows\\system32\\ipv6monl.dll - [B]Trojan-Spy.Win32.BZub.ih[/B] (DrWEB: Trojan.PWS.Tanspy.712)[*] c:\\windows\\system32\\spooldr.sys - [B]Email-Worm.Win32.Nulprot.e[/B] (DrWEB: Trojan.NtRootKit.375)[*] c:\\windows\\system32\\spoolsvv.exe - [B]Trojan-Downloader.Win32.Tibs.np[/B] (DrWEB: Trojan.Spambot.2426)[*] c:\\windows\\system32\\vedxg6ame4.exe - [B]Email-Worm.Win32.Zhelatin.jb[/B] (DrWEB: Trojan.Packed.142)[*] c:\\windows\\temp\\startdrv.exe - [B]Trojan-Downloader.Win32.Agent.deu[/B] (DrWEB: Trojan.MulDrop.8721)[/LIST][/LIST]