Выполнил, загрузил.
Printable View
Выполнил, загрузил.
boot_clr.log -прикрепите к сообщению....
Вот
выполните скрипт ...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('C:\WINDOWS\System32\drivers\runtime.sys');
DeleteFile('C:\WINDOWS\system32\DefLib.sys');
BC_DeleteSvc('runtime');
BC_ImportDeletedList;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
[/code]
повторите лог Sisinfo ...
Выполнил
runtime убился, deflib остался.
Почистим:
[CODE]
begin
ClearQuarantine;
SetAVZGuardStatus(true);
SysCleanAddFile('C:\WINDOWS\system32\DefLib.sys');
ExecuteSysClean;
end.
[/CODE]
Поискать system32\DRIVERS\Ip6Fw.sys. Найдется, добавить в карантин и прислать.
Скрипт выполнил.
[I]system32\DRIVERS\Ip6Fw.sys[/I] искал в AVZ через меню "Добавление в карантин по списку". В карантине пусто, в протоколе -"Карантин с использованием прямого чтения - ошибка". Это значит что все чисто, или я не правильно искал ?
Да. Значит он чистый.
повторите лог Sisinfo ...
Сделал
Повтори скрипт в Safe Mode. Что-то не хочет удаляться ссылка.
Выполнил, прикрепляю лог Sisinfo (или не надо, хотя уже поздно)
Забудем о ней. Не удаляется и все.
Делай логи AVZ. Будем заканчивать тему.
Уже забыл.
Вот свежие логи
[url]http://127.0.0.1:8080/config.script[/url] - это знаете что такое.
Профиксить в HijackThis:
[CODE]
O4 - HKUS\S-1-5-19\..\Run: [LinkDel] linkdel.cmd (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [LinkDel] linkdel.cmd (User 'NETWORK SERVICE')
[/CODE]
Не успели одно вылечить, уже второе живет.
Выполнить скрипт в Safe Mode:
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('\WINDOWS\system32\ntoskrnl.exe','');
QuarantineFile('C:\qqd.sys','');
DeleteFile('C:\qqd.sys');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
Прислать после перезагрузки карантин.
Все сделал, а что такое [I][url]http://127.0.0.1:8080/config.script[/url][/I] -не знаю :embarasse
Это настройка Вашего IE.
Поищите config.script через AVZ. Может тогда узнаем что это такэ.
Карантин сейчас посмотрю.
[size="1"][color="#666686"][B][I]Добавлено через 13 минут[/I][/B][/color][/size]
C:\WINDOWS\system32\ntoskrnl.exe - Trojan-Downloader.Win32.Kset.b(по Касперскому)
C:\qqd.sys - Rootkit.Win32.Agent.ey
Надо заменять ntoskrnl.exe с дистрибутива на чистый.
Как это делать:
Пуск--выполнить--cmd
expand x:\i386\ntoskrnl.ex_ y:\windows\system32\ntoskrnl.exe
x - буква CD, y - буква диска с windows xp
А меня чето уже не читаются диски :(
можете взять [URL="http://slil.ru/24872801"]тут[/URL]
Спасибо за файл, но попытка по прежнему не удалась.
Выполнение заканчивается "не удается открыть конечный файл с:\windows\system32\ntoskrnl.exe"
1. Перегрузить ПК.
2. Во время загрузки держать нажатой кнопку F8 для входа в загрузочное меню Windows XP.
3. Выбрать режим командной строки (Command Prompt).
4. Снова нажать F8.
5. Войти в систему под именем Администратора.
6. выполнить замену как написал PavelA ... ( слегка скорректировав пути) ...