Комп был заражен. Не устанавливались Антивирусы. Не запускался в safemode. Пролечил компьютер. После этого IE запускается и через 2-3 сек закрывается. В безопасный режим не заходит. Есть подозрение, что что-то не долечилось. Заранее спасибо.
Printable View
Комп был заражен. Не устанавливались Антивирусы. Не запускался в safemode. Пролечил компьютер. После этого IE запускается и через 2-3 сек закрывается. В безопасный режим не заходит. Есть подозрение, что что-то не долечилось. Заранее спасибо.
1.Отключите ПК от сети.
2.Отключите Антивирус.
3.Отключите системное востановление.
[URL="http://virusinfo.info/showthread.php?t=7239"]4. Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('RDPSSW32');
DelBHO('{1F460357-8A94-4D71-9CA3-AA4ACF32ED8E}');
DelCLSID('{28ABC5C0-4FCB-11CF-AAX5-81CX1C635612} ');
QuarantineFile('E:\WINDOWS\system32\RDPSSW32.EXE','');
QuarantineFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe','');
DeleteFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe');
DeleteFile('E:\WINDOWS\system32\RDPSSW32.EXE');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/CODE]
После перезагрузки:
5. [url="http://virusinfo.info/showthread.php?t=10025"] Очистите [/url]темп-папки и кэш проводников.
6. Закачайте карантин [COLOR="Red"][B]по красной ссылке[/B][/COLOR] вверху темы
7. Повторите логи.
В карантине ничего нет. Эти файлы были удалены мной несколько ранее. Вирустотал сказал, что в ise32.exe - троян и я его убрал. RDPSSW32.EXE - был чистый.
EI - по прежнему не стартует и закрывается через 2-3 сек. В безопасном режиме комп не загружаеться.
Может удалить КАВ, чтобы стало яснее?
Кто-то подскажет??? Как восстановить настройки EI и SafeMode???
Заранее спасибо!
Правым мышем прикоснитесь к корзине, Свойства/Глобальные свойства, поставьте крест Файлы удалять немедленно (без помещения в корзину).
Потом выполните скрипт
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelCLSID('{28ABC5C0-4FCB-11CF-AAX5-81CX1C635612} ');
QuarantineFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe','');
DeleteFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe');
BC_DeleteFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(2);
ExecuteRepair(3);
ExecuteRepair(4);
ExecuteRepair(10);
ExecuteRepair(13);
RebootWindows(true);
end.
[/CODE]
Повторите логи
При сборе лога Стандартный скрипт №3
AVZ выдает ошибку. Со множеством откыващихся окон.
[QUOTE]
2. Проверка памяти
Количество найденных процессов: 22
Количество загруженных модулей: 265
Проверка памяти завершена
3. Сканирование дисков
Ошибка выполнения команды RUNSCAN, ошибка - Access violation at address 00401F2F in module 'avz.exe'. Read of address 4643534D
Создание архива с файлами из карантина
Ошибка выполнения команды CREATEQURANTINEARCHIVE, ошибка - Access violation at address 00402254 in module 'avz.exe'. Write of address 4643535D
Выполняется исследование системы[/QUOTE]
[QUOTE=Demas;244648]При сборе лога Стандартный скрипт №3
AVZ выдает ошибку.[/QUOTE]Антивирус выключен?
Сделал - Выключить защиту, выход. Выключен полностью. Может его снести на время?
[QUOTE=Demas;244658]Сделал - Выключить защиту, выход. Выключен полностью. Может его снести на время?[/QUOTE]не надо. Делайте лог по скрипту 2 и Хайджек.
Перезагрузился, сделал, получилось.
Вы Корзину отключали: [url]http://virusinfo.info/showpost.php?p=244641&postcount=4[/url] ? Для всех пользователей?
Опорожните ве корзины - насколько возможно. Скачайте [url]http://vc.kiev.ua/vc/download/vc405sk.zip[/url] и проверьте содержимое всех Корзин.
Потом повторите лог по стандартному скрипту 2
Удалил папки Recycler со всех дисков. Что делать с кусочком от ВолковКоммандера - не понял.
Вариантов нет?
выполните скрипт ....
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe','');
DeleteFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe');
DelCLSID('28ABC5C0-4FCB-11CF-AAX5-81CX1C635612');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил ...
повторите лог ...
пункт 2 правил выполнялся ?
1. По поводу файлов в папках Recycler - я эти папки прибил, и отключил использование корзиной. При загрузке с сиди - этих папок нет.
2. Карантин пустой - там ничего нет.
3. Проверка CureIT - выполнялась, но не в SafeMode. SafeMode комп не загружается - зависает во время загрузки.
4. Установлен КАВ 7. Который запускается, но ничего не находит.
5. По-прежнему не стартует EI. Обновление на 7ю версию не помогло.
Спасибо.
[QUOTE=Demas;244687]Удалил папки Recycler со всех дисков.[/QUOTE]
Вы меня не поняли :): Дело на в дисках, а в количестве учеток на ПК - каждая учетка имеет свой собственный Рисайклер, который может быть сконфигурирован для каждого диска или для системы в целом. Поэтому нужно проверить Recyclerы для всех учеток на ПК (не забудьте учетку Админа, которая доступна только из безопасного режима, пароля у нее по умолчанию нет).
[QUOTE=Demas;244687]Что делать с кусочком от ВолковКоммандера - не понял.[/QUOTE]С каким кусочком? :O
[QUOTE=Demas;244812]5. По-прежнему не стартует EI. Обновление на 7ю версию не помогло.[/QUOTE]
В одном из Рисайклеров сидит зловред - по крайней мере его АВЗ показывает:
[CODE]C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe[/CODE].
М.б. как только мы его уберем - все заработает. А может - нет ;)
У меня работает одна учетка. Остальные не используются. Исходя из этого я не понимаю где рецайклеры остальных пользователей. Папок Recycler нет. Я их удалил. ise32.exe - действительно был трояном, но я его давно удалил. А что такое Active Setup???
Снес кав. После этого начал работать EI. Правда кривовато.
Собрать логи еще раз?
[QUOTE=Demas;244895]У меня работает одна учетка.[/QUOTE]Каждый ВинХР имеет минимум [B]2[/B] учетки :D - сис. админ виден и доступен только в безопасном режиме
[QUOTE]Снес кав. После этого начал работать EI. [/QUOTE]
Что значит кривовато? Другой проводник типа Опера/Файрфокс пробовали?
Да админ виден из под безопасного режима, только безопасный режим, у меня не работает.
Опера работает.
EI7 так как только начал работать, отправляет на [url]http://runonce.msn.com/runonce2.aspx[/url]. Страница скачивается полностью.
При просмотре html видно конец </html>. Но не отображается на экране.
[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]
Как выключить Active Setup?
авз - сервис - менеджер Active Setup
Выключил Active Setup. После он перезагрузки не появился. Как восстановить работу SafeMode?
В логах вроде чисто.