Мгновенно на флешку все лезет... Фуф... Помогите... Еле выдрали его у бухгалтерии...
Printable View
Мгновенно на флешку все лезет... Фуф... Помогите... Еле выдрали его у бухгалтерии...
1.Как обычно, скрипт выполнить:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\windows\system32\tmwsock.dll','');
QuarantineFile('tuvwusr.dll','');
QuarantineFile('C:\WINDOWS\MS32DLL.dll.vbs','');
BC_DeleteFile('C:\WINDOWS\MS32DLL.dll.vbs');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
Добавить в карантинвсе autorun.inf и загрузить через ссылку.
2.Скачать, принести с другого WinSockXPFix. Пока не запускать.
З.Ы Темы немножко по разному называйте, чтобы отличать компьютеры.
скрипт выполнен.
карантин отправлен.
WinSockXPFix скачан
Все autorun.inf удаляем. Может пропасть доступ к дискам. В "Чаво" смотреть совет Bratez на эту тему.
В защищенном режиме выполнить скрипт:
[CODE]
begin
ClearQuarantine;
SetAVZGuardStatus(True);
QuarantineFile('c:\windows\system32\tmwsock.dll','');
QuarantineFile('tuvwusr.dll','');
end.[/CODE]
если что-то попадется, кроме ini-файлов прислать.
MS32DLL.dll.vbs - [B]Worm.VBS.Solow.a[/B]
Выполните скрипт в AVZ:
[code]
begin
SetAVZGuardStatus(True);
DeleteFile('C:\autorun.*');
DeleteFile('C:\WINDOWS\system32\autorun.*');
DeleteFile('D:\autorun.*');
DeleteFile('F:\autorun.*');
DeleteFile('C:\WINDOWS\MS32DLL.dll.vbs');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
(если из D или F является CD/DVD приводом -
удалите строку с его упоминанием из скрипта).
Пофиксите в HijackThis:
[code]
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Hacked by Godzilla
O20 - Winlogon Notify: awtqq - C:\WINDOWS\
O20 - Winlogon Notify: ddcyy - C:\WINDOWS\
O20 - Winlogon Notify: partnershipreg - C:\WINDOWS\
O20 - Winlogon Notify: tuvwusr - tuvwusr.dll (file missing)
[/code]
Если возникнут проблемы с открытием дисков
через "Мой компьютер", читайте [URL="http://virusinfo.info/showthread.php?t=8877"]здесь[/URL].
Все сделала... Но аваст все равно верещит, что нашел MS32DLL.dll.vbs (
Где он его находит? м.б. в карантине АВЗ. :)
ой, может быть... щас посмотрю... *у меня уже крыша едет 5 часов этот комп мучить при постоянных звонках бухгалтерии с требованиями вернуть его*
нее, показывает:
имя файла C:\MS32DLL.dll.vbs
имя вируса VBS:Solow
тип вируса Вирус/Червь
Выполните скрипт в AVZ
[CODE]begin
SetAVZGuardStatus(True);
DeleteFile('C:\MS32DLL.dll.vbs');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
и повторите логи.
Зы.думаю аваст ругаться перестанет ;)
Сразу не отдавайте, перед этим поставить ограниченного пользователя в виндоус;) Поменять пароль на админа.И фаэрвокс с noscript поставить, а эксплореру запретить выход в интернет в фаэрволе ;)
файерфокс - обязательно! всем ставим... вообще хотелось бы отключить этот комп от инета, не нужен он сто лет бухгалтеру детской библиотеки... он ей нужен - платежки печатать...
Автораны пооставались на C: и D:, хотя сам вирус видимо удален.
И про ошибки в LSP как-то все позабыли...
Выполните такой скрипт:
[code]
begin
SetAVZGuardStatus(True);
DeleteFile('C:\autorun.*');
DeleteFile('C:\WINDOWS\system32\autorun.*');
DeleteFile('D:\autorun.*');
DeleteFile('C:\Documents and Settings\Администратор.PC-012\DoctorWeb\Quarantine\*.*');
AutoFixSPI;
RebootWindows(true);
end.[/code]
И придется логи еще разок повторить, чтобы сомнений не было.
Вам нужно будет аккуратно проверить съемные носители, которые пользовали на этом компьютере, и удалить с них autorun.* и MS32DLL.dll.vbs. Как это следует делать, написано в [URL="http://virusinfo.info/showthread.php?t=8877"]этой статье[/URL].
Автораны удалили по статье.
Выполнили скрипт, комп ушёл в перезагруз, до сих пор не загрузился >:(:?:'-(
В безопасном тоже. Сижу и смотрю на окошко "Пожалуйста подождите..., загрузка Windows.
Стоп - дождались (5-10 минут), ввели пользователя , смотрим на черный экран. - 5 минут. Появилось... Не не совсем... Нижний панели нет - > не выдвигается никак...
Хмм... Вот это номер!
А есть возможность хотя бы в безопасном запустить AVZ?
Ну да .. через диспетчер задач
Тогда запустите AVZ и выполните такой скрипт:
[code]
begin
Delspibyfilename('tmwsock.dll',true);
Autofixspi;
Rebootwindows(true);
end.[/code]
Если не поможет, будем думать дальше.
Правда у меня уже 2-й час ночи ;)...
5 минут смотрю а окошко входа виндоус.
Винт вяло помаргивает.
Вообще этому компу интернет нафиг не нужен, этому компу всего лишь нужно было чтобы работала бухгалтерские проги Ексель и Парус. Парус клиент должен всего лишь соединятся с сервером. Бухгалтерия меня сьест. (Весь день ждали комп, чтобы распечатать ведомости о зарплатах, то есть бить будут все) ...
Так .. гружу безопастный режим. 4 минуты уже...
Безопастный режим загрузился - все также , без панели
Ну блин... все же работало, до предпоследнего скрипта... Отмените его назад !!! :(
Глюк какой-то, в том скрипте кроме удаления авторанов и карантина есть только AutoFixSPI, которая правит ошибки в Winsocks LSP и повлиять на запуск системы в принципе не должна.
Пока единственное, что приходит в голову - скачайте программу WinSockxpFix с этого сайта: [url]http://www.winsockfix.nl[/url] -
запустите и нажмите [B]Fix[/B].
Если опять не пойдет, сделайте лог, как написано [URL="http://virusinfo.info/showthread.php?t=10387"]здесь[/URL].
А если комп щас дома, то после WinSockxpFix, не порушится ли соединение с сервером доменной сети?
Запишите все настройки подключения локальной сети, потом введёте их на место.
а где их взять? (в безопасном режиме, другой не грузиться)
Загрузиться в безопасный с поддержкой сети. И именно в таком выполнять WinSockxpFix.
В таком режиме (в подключением в домен) уже 10 минут ждем...
сетевые подключения - пусто
слетели все настройки сети... а я их не помню...:'-(
1. Запустите окно командной строки и выполните команду
[B]netsh winsock show catalog > C:\log.txt[/B]
2. В AVZ откройте Сервис - Менеджер Winsock SPI ..." и оттуда сохраните HTML протокол для обоих закладок.
Файл c:\log.txt и протоколы прикрепите к теме.
так... ну вроде нормальный режим запустился... даже быстро...
в настройках сети раньше стояли цифры, теперь все стоит "получить автоматически"....
C:\log.txt - не вижу такого файла (команду выполнили)
о... получилось... в norton commander!!! *и зачем он на компе бухгалтера?*
[QUOTE]так... ну вроде нормальный режим запустился... даже быстро... [/QUOTE]
Интересно, что же именно сдвинуло дело с мертвой точки?
Если я правильно понял, проблема с запуском решилась?
[QUOTE]в настройках сети раньше стояли цифры, теперь все стоит "получить автоматически"....[/QUOTE]
Ну тут уж извиняйте, так получилось... Придется вам потревожить сисадмина, пусть тоже немножко поработает, не только мы с вами ;)
Судя по логам, пресловутая ошибка таки исправилась.
[quote=Bratez;119076]
Ну тут уж извиняйте, так получилось... Придется вам потревожить сисадмина, пусть тоже немножко поработает, не только мы с вами ;)
Судя по логам, пресловутая ошибка таки исправилась.[/quote]
Ща вы будете смеяться... Я и есть сисадмин... Точнее помощник (вообще то я там веб-админ, сайт делаю)... А у сисадмина (он же мой муж) есть основная работа в другом месте, а тут его просили просто приходить иногда и помогать (типа - ой у меня принтер не печатает)... А вот тут оказалось такая засада... Ни один из предыдущих сисадминов не разу за год не чистил компа, не проверял и вообще там антивирусов нет...