проблема аналогичная теме "Два! Порно банера подряд"
[url]http://virusinfo.info/showthread.php?t=78651[/url]
прикладываю логи
заранее огромное спасибо.
Printable View
проблема аналогичная теме "Два! Порно банера подряд"
[url]http://virusinfo.info/showthread.php?t=78651[/url]
прикладываю логи
заранее огромное спасибо.
Логи с LiveCD бесполезны. Работа с реестром возможна из этого LiveCD?
[QUOTE=PavelA;640161]Логи с LiveCD бесполезны. Работа с реестром возможна из этого LiveCD?[/QUOTE]
да, возможна.
[size="1"][color="#666686"][B][I]Добавлено через 13 минут[/I][/B][/color][/size]
так что надо сделать?
Посмотрите в реестре:
ветка
Код:
HKEY_LOCALE_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windowsпараметр
Код:
AppInit_DLLs
Содержимое этого параметра в своем сообщении напишите
открыл файл regedit.exe с С:\windows
данный параметр оказался нулевым.
все-таки удалось запустить AVZ с зараженного виндоуса.
Выполнить:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\All Users\systems.exe','');
DeleteFile('C:\Documents and Settings\All Users\systems.exe');
ExecuteRepair(11);
ExecuteRepair(17);
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,3,true);
BC_Activate;
RebootWindows(true);
end.[/CODE]
Плюс лог ComboFix сделайте.
Карантин надо будет прислать.
а есть разница в выполнении этого скрипка через LiveCD или через зараженный винд? Просто в последнем я нему включить AVZ, а с LiveCD результатов не дал.
[QUOTE='s1ned;640287']а есть разница в выполнении этого скрипка через LiveCD или через зараженный винд?[/QUOTE] Есть и очень большая. Если можете, то убейте C:\Documents and Settings\All Users\systems.exe, а потом будем долечиваться.
[QUOTE='PavelA;640290']Если можете, то убейте C:\Documents and Settings\All Users\systems.exe[/QUOTE]Не убивайте, а [B]переименуйте[/B]. Образец нужен вирлабу
И лог ComboFix не забудьте
[QUOTE=PavelA;640176]Посмотрите в реестре:
ветка
Код:
HKEY_LOCALE_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windowsпараметр
Код:
AppInit_DLLs
Содержимое этого параметра в своем сообщении напишите[/QUOTE]
оказался там файл
C:\WINDOWS\system32\reyhup.dll
[QUOTE=thyrex;640358]Не убивайте, а [B]переименуйте[/B]. Образец нужен вирлабу
И лог ComboFix не забудьте[/QUOTE]
сохранил
Выполнить:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\reyhup.dll','');
DeleteFile('C:\WINDOWS\system32\reyhup.dll');
ExecuteRepair(11);
ExecuteRepair(17);
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,3,true);
BC_Activate;
RebootWindows(true);
end.[/CODE]
Карантин прислать в обязательном порядке.
Где [URL="http://virusinfo.info/showpost.php?p=493610&postcount=1"]лог ComboFix[/URL]?
все сделал
необходимо ставить пароль на zip-архивы карантийных файлов (что-то winzip не дает такой возможности)?
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
[code]KillAll::
File::
c:\windows\system32\uml.dll
c:\windows\system32\dvevbfas.dll
c:\windows\system32\yvt.dll
c:\windows\system32\ne.dll
c:\windows\system32\uljvoa.dll
c:\windows\system32\rgpr.dll
c:\windows\system32\pcprdbst.dll
c:\windows\system32\mbhyeh.dll
c:\windows\system32\dpte.dll
c:\documents and settings\All Users\config.bat
c:\documents and settings\All Users\ret.bat
c:\documents and settings\All Users\hide.bat
c:\windows\system32\iimhd.dll
c:\windows\system32\bq.dll
Driver::
Folder::
Registry::
FileLook::
DirLook::[/code]
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
[IMG]http://i076.radikal.ru/1003/e5/554faea12baf.gif[/IMG]
Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.
сделал
Такое ощущение, что скрипт из сообщения №16 не выполняли даже. Переделайте еще раз
да, мой косяк. Сделал первый раз без "консоли восстановления". Сейчас вроде все ОК.
ЗЫ: карантины можно без пароля прислать?