Добрый день. Опять Аваст червя пропустил. В итоге интернета нет как нет. Кроме того CPU загружен на 50-70% это без ничего. Сам Аваст похоже поврежден как и файрволл от Windows
Printable View
Добрый день. Опять Аваст червя пропустил. В итоге интернета нет как нет. Кроме того CPU загружен на 50-70% это без ничего. Сам Аваст похоже поврежден как и файрволл от Windows
Cure-It проверялись?
Нет. Его на компе нет. А скачать не получилось ИЕ не работает. Пишу с соседнего
На соседнем скачай, запиши на СД/флешку и проверься.
Есть подозрение на файловый вирус.
Рискну- он не проверен. По окончании как я понял - опять логи?
Да. И еще лог Cure-It
Логи + лог Cure-It
Куреитом весь диск проверяли? Или только экспресс-проверкой?
Кстати, на компьютере был ПИНЧ. Надо менять пароли.
Наборчик зверья шикарный. :)
"восст системы" почему не отключено? Там тоже кое-чего нашлось.
Выполнить скрипт:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\avpo.exe','');
BC_DeleteFile('C:\WINDOWS\system32\avpo.exe');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.[/CODE]
Загрузить карантин через ссылку вверху темы.
Проверил куреитом все! Восстановление системы перед АВЗ отключил. А вот что такое ПИНЧ мне пока неизвестно....
Карантин пошел.........
ПИНЧ - ворователь паролей от всего (почта,аська,вебмани, и пр.)
В логе AVZ написано, что "Восст" включено.
[size="1"][color="#666686"][B][I]Добавлено через 4 минуты[/I][/B][/color][/size]
ntde1ect.com - вот такой файл надо поискать через AVZ.
Есть надежда, правда, что Куреит его убил, но все же надо провериться.
C:\autorun.inf - удалить, если еще остался.
Да было включено-странно...Выключил
Значит буду менять пароли - только бы интернет пустить, а то запарился бегать от компа к компу
C:\WINDOWS\system32\avpo.exe - Packed.Win32.NSAnti.r (по Касперскому)
Доктор его не знает.
Теперь по идее Аваст должен ожить.
ntde1ect.com - АВЗ не находит
C:\autorun.inf - находит: как его удалить то?
У Аваста 2 из 7ми провайдеров не работают (Веб Экран и Оутлук)
У Винды по прежнему блокирован файрволл
'C:\WINDOWS\system32\avpo0.dll' - точно такой же
Продолжаем:
[CODE]begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('\??\C:\WINDOWS\system32\wincab.sys','');
DeleteFile('C:\WINDOWS\system32\avpo0.dll');
DeleteFile('C:\autorun.inf');
BC_DeleteFile('C:\WINDOWS\system32\avpo0.dll');
DeleteFile('\??\C:\WINDOWS\system32\wincab.sys');
BC_DeleteFile('\??\C:\WINDOWS\system32\wincab.sys');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
Прислать новый карантин.
сделать новые логи.
Послал новый карантин
Новые логи
Все ли ок?
Не-а. На удивление в логах присутствуют все те, которых мы удаляли.
Выполнить в защищенном режиме (Safe Mode):
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\avpo0.dll');
DeleteFile('C:\autorun.inf');
BC_DeleteFile('C:\WINDOWS\system32\avpo0.dll');
DeleteFile('C:\WINDOWS\system32\wincab.sys');
BC_DeleteFile('C:\WINDOWS\system32\wincab.sys');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
Сделать лог из п.8 Правил.
В Safe Mode сделал. После этого сканирование прерывается на 30% и пишет:
Access violation at address 00402254 in module `avz.exe`. Write of address 4643535D
Сделай вот такой лог в безопасном [url]http://virusinfo.info/showthread.php?t=10387[/url]
Лог из Safe Mode
Выполните скрипт в AVZ:
[code]
begin
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\avpo0.dll');
DeleteFile('C:\WINDOWS\system32\avpo.exe');
BC_ImportDeletedList;
BC_DeleteSvc('asc355');
BC_DeleteSvc('asc3550p');
BC_DeleteSvc('asc3550u');
BC_DeleteSvc('asc355O');
BC_DeleteSvc('kprof');
BC_DeleteSvc('poof');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
После перезагрузки сделайте еще раз последний лог.
Выполнять из Safe Mode?
Без разницы.
Есть лог
выполните скрипт...
[code]
begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
QuarantineFile('C:\WINDOWS\system32\avpo.exe','');
QuarantineFile('C:\WINDOWS\system32\wincab.sys','');
QuarantineFile('C:\WINDOWS\system32\avpo0.dll','');
DeleteFile('C:\WINDOWS\system32\wincab.sys');
DeleteFile('C:\WINDOWS\system32\avpo.exe');
DeleteFile('C:\WINDOWS\system32\avpo0.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
повторите логи...
Все логи? Удается только последний
лучше все ...
Могу только этот-остальные сбоит
Опять все живы :( Непонятка какая-то получается.
А не может ли быть так что я таскаю зверя с другого компа? Может мне как то интернет у себя поправить? для начала....
Решение проблемы с фаерваллом:
[url]http://support.microsoft.com/kb/825826/ru[/url]
После установки пакета обновления 2 (SP2) для Windows XP не удается запустить службу брандмауэра Windows. В частности, могут возникать следующие неполадки:
•пункт Брандмауэр Windows/Общий доступ к Интернету (ICS) не отображается в списке Службы панели управления;
•пункт Брандмауэр Windows/Общий доступ к Интернету (ICS) отображается в списке Службы, но не удается запустить службу;
•при попытке доступа к параметрам брандмауэра Windows выводится следующее сообщение об ошибке:
"Вследствие неопределенной ошибки не удается отобразить параметры брандмауэра Windows."
решение проблемы тут [url]http://support.microsoft.com/kb/920074/ru[/url]
Возможно еще понадобится winsockxpfix. Надо запомнить настройки сети, Инета перед ее запуском. потом запустить, нажать
"fix", потом заново настроить сетки.