я и ето тоже зделаю
[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]
Логи вылажывать из под Live CD, или с под системы?
Printable View
я и ето тоже зделаю
[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]
Логи вылажывать из под Live CD, или с под системы?
логи делать в системе.
поразительно теперь они все Win32.Sector.9 а не 5 как раньше было:O
Лечите с DrWeb Live CD? После лечения желательно еще раз проверить, чтобы убедиться, все ли вылечено.
да я его сейчас под Live CD а потоп из другого компа пройдусь по нему
Значит ситуация такова, проверял CureIT-ом из под LiveCD все екзешники заражыны были Win32.Sector 9 вылечил и несколь модифицированых Win32.Sector 5 которые не хотели лечить пришлось удалить, потом винт подключил к чистой машине и опять проверил CureIT-ом все было чисто, логи зделал из мучительной системы
Safe Mode - по прежнему не грузиться но зато диспетчер зада и реестр запускаеться. Да еще при запуске диспетчера задач чере 15 сек в процесах появляеться wuauclt.exe, а также много процесов svchost и переодически то появляеться то исчезает какойто LOCAL~
[url=http://virusinfo.info/showthread.php?t=7239]Выполните скрипт в AVZ[/url]:
[code]begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\HPDESK\lttwn80n.dll','');
DeleteFile('C:\WINDOWS\system32\drivers\jlqoin.sys');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteSvc('asc3360pr');
BC_Activate;
ExecuteRepair(10);
ExecuteRepair(11);
ExecuteRepair(17);
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению №3 [url=http://virusinfo.info/showthread.php?t=1235]правил[/url] (загружать здесь: [url]http://virusinfo.info/upload_virus.php?tid=27725[/url] ).
Очистите временные папки и кеш браузера.
Проверьте, заработал ли безопасный режим.
Сделайте полную проверку в [url=http://devbuilds.kaspersky-labs.com/devbuilds/AVPTool/]AVPTool[/url].
У Вас подозрительные записи в файле Hosts - его можно очистить таким скриптом в AVZ:
[code]begin
ClearHostsFile;
end.[/code]
Сделайте новые логи.
Извените но карантин отправил без пароля
[size="1"][color="#666686"][B][I]Добавлено через 9 минут[/I][/B][/color][/size]
На ноч я ставил полнуюю проверку CureIT-ом так он нашел модифицированых Win32.Sector 5 по пути D:\System Volume Information\_restore{C74DFD9F-30CA-4D20-BFF0-B43E1F1064A4}\RP276 - удалил
[QUOTE=siniypank;265779] D:\System Volume Information\_restore[/QUOTE]А кто ж Вас надоумил, системное восстановление включить... :O
Я его не включал (как отключил согласно правил так и не трогал)
[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]
оно и сейчас отключено
Проверил [URL="http://devbuilds.kaspersky-labs.com/devbuilds/AVPTool/"]AVPTool[/URL] было найдено 2 штуки Worm.Win32.AutoRun.lnr (в AVZ) и троянская программа Trojan-Downloader.Win32.Mutant.atz (в NOD32) я их удалил. Вот следуюшие логи
[QUOTE=siniypank;265805]Я его не включал (как отключил согласно правил так и не трогал) ...оно и сейчас отключено[/QUOTE] А где же доктор зловреда нашел: [QUOTE]D:\System Volume Information\_restore{C74DFD9F-30CA-4D20-BFF0-B43E1F1064A4}\RP276 [/QUOTE]
У меня два диска С - системный D- простой, нашел он его тогда когда проверял из под системы ане из LiveCD и с помошю другова компа
[size="1"][color="#666686"][B][I]Добавлено через 3 минуты[/I][/B][/color][/size]
Safe Mode - уже работает за что большое спасибо :i-m_so_happy:
В логах чисто:
Имеется
[CODE]Platform: WindowsXP [B]SP2[/B] (WinNT 5.01.2600)
MSIE: Internet Explorer [B]v6.00 SP2[/B] (6.00.2900.2180)
C:\Program Files\Java\[B]jre1.5.0_06[/B]\
[/CODE]
Должно быть
[CODE]Platform: Windows XP [B]SP3[/B] (WinNT 5.01.2600)
MSIE: Internet Explorer [B]v7.00 ([/B]7.00.6000.16674)
C:\Program Files\Java\[B]jre1.6.0_07[/B]\[/CODE]
Вопросы, пожелания, проблемы?
По информации из лога AVZ системное восстановление у Вас отключено.
Похоже, мы победили файловый вирус - поздравляю :)
На всякий случай выполните такой скрипт в AVZ:
[code]begin
DeleteFileMask('D:\System Volume Information', '*.*', true);
RebootWindows(false);
end.[/code]
Какие-то проблемы остались?
Огромное при огромное вам спасибо за помощь :beer:, ведь Вы мне дали возможность в понедельник уйти в отпуск с чистой душой. Как мне Вас отблагодорить?
[QUOTE=siniypank;265840]Как мне Вас отблагодорить?[/QUOTE]Посмотрите ссылку в подписи у меня или у коллеги kps ;)
Я еще вчера той сылочкой воспользовался , и завтра еще воспользуюсь:english_en:
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]7[/B][*]Обработано файлов: [B]49[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\iexplorer.exe - [B]Trojan.Win32.Buzus.niu[/B] (DrWEB: Trojan.MulDrop.18267)[*] c:\\windows\\services.exe - [B]Virus.Win32.Sality.aa[/B] (DrWEB: Win32.Sector.9)[*] f:\\autorun.inf - [B]Worm.Win32.AutoRun.lnr[/B] (DrWEB: Win32.HLLW.Autoruner.2566)[*] f:\\erth.exe - [B]Virus.Win32.Sality.aa[/B] (DrWEB: Win32.Sector.9)[*] f:\\ipyixv.exe - [B]Virus.Win32.Sality.aa[/B] (DrWEB: Win32.Sector.9)[*] f:\\osypp.exe - [B]Virus.Win32.Sality.aa[/B] (DrWEB: Win32.Sector.9)[*] f:\\qvbe.exe - [B]Virus.Win32.Sality.aa[/B] (DrWEB: Win32.Sector.9)[*] f:\\vtopg.cmd - [B]Virus.Win32.Sality.aa[/B] (DrWEB: Win32.Sector.9)[/LIST][/LIST]