эта зараза сидит прямо на диске,но не Symantec Endpoint Protection 11.0.780.1109 не NOD32 его не берут .AVZ тоже не видит проблемы.Чем будем убивать падлюку ?)
Printable View
эта зараза сидит прямо на диске,но не Symantec Endpoint Protection 11.0.780.1109 не NOD32 его не берут .AVZ тоже не видит проблемы.Чем будем убивать падлюку ?)
Начните с выполнения правил: [url]http://virusinfo.info/showthread.php?t=1235[/url]
Пункт 2 - обязательно.
Высылаю логи
Выполнить скрипт:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('6811.PIF','');
QuarantineFile('C:\Documents and Settings\777\Главное меню\Программы\Автозагрузка\RavMonE.exe','');
QuarantineFile('C:\WINDOWS\system32\RavMon.exe','');
QuarantineFile('C:\WINDOWS\system32\amvo.exe','');
QuarantineFile('C:\WINDOWS\system32\blastclnnn.exe','');
DeleteFile('C:\WINDOWS\system32\blastclnnn.exe');
DeleteFile('C:\WINDOWS\system32\amvo.exe');
DeleteFile('C:\WINDOWS\system32\RavMon.exe');
DeleteFile('C:\Documents and Settings\777\Главное меню\Программы\Автозагрузка\RavMonE.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
Загрузить карантин. Сделать новые логи, полный комплект.
Удалить задание из "Планировщика" (см. Панель Управления)
Надо будет проверить все флешки, которые вставлялись в этот компьютер.
Runavto все так же продолжает пребывать на обеих разделах HDD.Так же система выдает окно ошибки следуюшего содержания:Spooler SubSystem App - обнаружена ошибка.Приложение будет закрыто...Логи выслал,планировщик как вы и сказали очистил.
Продолжение:
[CODE]begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\SCVVHSOT.exe','');
QuarantineFile('C:\WINDOWS\Mixer.exe','');
QuarantineFile('ccPrxy.exe','');
DeleteFile('ccPrxy.exe');
DeleteFile('C:\WINDOWS\system32\SCVVHSOT.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
добавил mixer.exe, и что-то он мне не нравиться ;)
вордовский Файл попавший в карантин - чистый.
Попробуйте так:
Пуск - Выполнить - [b]cmd[/b]
В командной строке наберите
[b]RD /S /Q C:\RUNAUT~1[/b]
[b]RD /S /Q D:\RUNAUT~1[/b]
При загрузке системы высплывает вышеупомянутое окно ошибки след. содержания:Spooler SubSystem App - обнаружена ошибка.Приложение будет закрыто...Runavto так же сидит на дисках.
[url]http://virusinfo.info/showthread.php?t=10387[/url] - вот это сделай в защищ. режиме.
Да, и кстати, обычные логи тоже нужно сделать.
Попробуйте так:
Пуск - Выполнить - cmd
В командной строке наберите
RD /S /Q C:\RUNAUT~1
RD /S /Q D:\RUNAUT~1
__________________
The truth is hereabout.Вот это вот дело стерло мой рабочий стол вместе с этим runavto что с этим делать?)
Диспетчер задач по Ctrl-Alt-Delete запускается?
Да запускается
1. Через Диспетчер задач - Файл - Новая задача
запустите iexplore.exe, наберите в адресной строке [b]C:\[/b], нажмите Enter.
Далее пройдя по папкам, проверьте, на месте ли папка
C:\Documents and Settings\777\Рабочий стол и ее содержимое.
Никуда она испариться не могла.
2. Запустите AVZ, выберите Файл - Восстановление системы, отметьте позиции 1, 5, 6, 8, 9, 16, нажмите Выполнить, перезагрузите компьютер.
Ни рабочего стола,ни содержимого моих документов там нет все исчезло.Все ,что было на том диске который я указал в командной строке.
А вы случайно между слэшем и словом RUNAUT~1 пробел не вставили??
Вполне возможно,а последствия ?
м.б. непредсказуемые, если защита не сработала.
RD /S /Q C:\ - удаление содержимого диска "С" Сработать оно не должно.
Даа по ходу я попал.Мужики,а есть выход со сложившейся ситуации,то есть как то восстановить потерянное ?
Если вставили пробел, то вместо папки Runauto удалили корневой каталог диска!
Если так, то весьма печально, хотя и поправимо. На этот пустой диск НИЧЕГО не записывайте! Все папки можно восстановить, для этого существует много специальных программ, но сделать это дистанционно не удастся. Видимо придется вам вызвать специалиста или отнести к нему свой жесткий диск.
Лучше везти.
По стоимости - как у вас, не знаю, у нас - от 1500 и выше. Так что - если информация не стоит этих денег, можно не возить к спецам диск.
Все выслал как и говорили.В безопасном один лог и остальные в обычном.
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]2[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]