Симптомы один в один с - [url]http://virusinfo.info/showthread.php?t=22419[/url].
AVP Tool и CureIt не устанавливаются. KIS ничего не нашел. Логи прилагаю.
Printable View
Симптомы один в один с - [url]http://virusinfo.info/showthread.php?t=22419[/url].
AVP Tool и CureIt не устанавливаются. KIS ничего не нашел. Логи прилагаю.
Выполните скрипт:
[CODE]begin
ExecuteWizard('TSW', 3, 3, true);
RebootWindows(true);
end.[/CODE]
Проверьте, что с проблемами...
Проблема осталась
1. Обновите базы AVZ.
2. Установите драйвер расширенного мониторинга AVZPM.
3. Логи AVZ повторите.
Установите драйвер расширенного мониторинга AVZPM. - поподробней, пожалуйста - разобрался
[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]
После первого лога AVZ перезагружаться обязательно?
Разобрались с AVZPM?
[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]
[QUOTE=endoc;412664]После первого лога AVZ перезагружаться обязательно?[/QUOTE]
Да.
При работе первого скрипта svchost.exe память не может быть written...
Перезагрузка сработала только жесткая
Логи :
Одну штуку заметил - в диалоговом окне KIS'а "Проверка" появился неопознанный диск I:\. Ни в проводнике, ни в управлении дисками его нет, только там.
[URL=http://radikal.ru/F/s52.radikal.ru/i137/0906/d0/2288085ad0a5.jpg.html][IMG]http://s52.radikal.ru/i137/0906/d0/2288085ad0a5t.jpg[/IMG][/URL]
Что с проблемой?
Осталась так как была. пО поводу неопознанного диска - при запуске программ было либо открыть с помощью, либо не найден rundll либо не найден файл I:\...\... - т.е. система там пыталась файлы найти вместо системного D:\
На свой страх и риск запустил RegCleaner от AutLogic, перезагрузился - проблема решилась. Что именно помогло - не знаю, а вот неопознанный диск так и остался. Может затишье ненадолго?
Сделайте такой лог [url]http://virusinfo.info/showthread.php?t=40118[/url]
Gmer на этапе проверки критически вылетела. Каспер был выгружен. На панели состояния проверки было \Device\00000038
[QUOTE=endoc;412674]неопознанный диск так и остался. [/QUOTE]Диск виден в Мой компьютер/Управление дисками? Скачайте special avz в моей подписи, сделайте лог по п.2 Диагностики и лог автозапуска (Сервис/Диспетчер автозапуска/Сохранить лог...)
ветку реестра HKEY_LOCAL_MACHINE\SYSTEM\MountedDevices экспортируйте , запакуйте и приложите ...
Призрак (I:\) также виден только в каспере. Логи + MountedDevices :
При запуске Gmer:
[URL=http://radikal.ru/F/i046.radikal.ru/0906/0a/5f9f87bd6705.jpg.html][IMG]http://i046.radikal.ru/0906/0a/5f9f87bd6705t.jpg[/IMG][/URL]
Подскажите, что это означает? ЧТо за RootKit activity ?
[size="1"][color="#666686"][B][I]Добавлено через 58 минут[/I][/B][/color][/size]
Теперь Gmer работает(на вышеописанное сообщение ответил Да, проверяет только системный диск D:\), но работает уже час и даже трети диска не проверил. Если все диски ставить, будет проверять сутки наверное.
АВЗ/Сервис/Поиск файла, найдите файлы по маске [B]svchost*[/B] в папке [B]c:\windows[/B] . Все найденные файлы загоните в карантин, его пришлите по правилам.
у меня D:\Windows. Выслал. При просмотре карантина показывал только один файл, а загонял в карантин 3. Он их объеденил, все верно?
[QUOTE=endoc;412932]Он их объеденил, все верно?[/QUOTE]Никто никого не объединял. Нужен файл, который заподозрил gmer. Он не попал, попал svchost.ex_ из резерва системных файлов. Нужен файл d:\windows\system32\svchost.exe.
такой лог [url]http://virusinfo.info/showthread.php?t=40120[/url] сделайте ...
и где запрошенная ветка реестра ?
Он его не добавляет ни из поиска, ни вручную через список, говорит, что svchost.ex_ добавлен - процесс добавления файлов завершен. Может вручную заархивировать эти три файла?
[size="1"][color="#666686"][B][I]Добавлено через 3 минуты[/I][/B][/color][/size]
[QUOTE=V_Bond;412938]такой лог [url]http://virusinfo.info/showthread.php?t=40120[/url] сделайте ...
и где запрошенная ветка реестра ?[/QUOTE]
Ветка в последних логах выше.
в инструкции к RootRepeal написано "выберите только диск C:\" у меня хрюша на D:\ стоит, какой диск выбирать?
[QUOTE=endoc;412939]
в инструкции к RootRepeal написано "выберите только диск C:\" у меня хрюша на D:\ стоит,
[/QUOTE]там, где ОС установлена :)
в HKEY_LOCAL_MACHINE\SYSTEM\MountedDevices удалите \DosDevices\I:
RootRepeal зависает после
svchost.exe - память не может быть written
[QUOTE=V_Bond;412957]в HKEY_LOCAL_MACHINE\SYSTEM\MountedDevices удалите \DosDevices\I:[/QUOTE]
удалил
[size="1"][color="#666686"][B][I]Добавлено через 4 минуты[/I][/B][/color][/size]
Перезагрузился - в HKEY_LOCAL_MACHINE\SYSTEM\MountedDevices\DosDevices\ диска I:\ нету. В Каспере остался
[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]
[QUOTE=Rene-gad;412937]Никто никого не объединял. Нужен файл, который заподозрил gmer. Он не попал, попал svchost.ex_ из резерва системных файлов. Нужен файл d:\windows\system32\svchost.exe.[/QUOTE]
Так что мне с svchost делать?
[QUOTE=endoc;412982]Так что мне с svchost делать?[/QUOTE]Мы очень бы хотели на него взглянуть. Закарантиньте его и пришлите по правилам.
Так не карантинит, - я же писал, предлагаю вручную заархивить и прислать
[QUOTE=endoc;412988]предлагаю вручную заархивить и прислать[/QUOTE]ОК, давайте так. Только архив запаролить (virus) не забудьте.
Какой пароль ставить? Прислать через "Прислать запрошенный карантин" или через вложения?
Пароль [B]virus[/B]. Присылать через красную ссылку наверху.
послал по правилам
[size="1"][color="#666686"][B][I]Добавлено через 1 час 43 минуты[/I][/B][/color][/size]
Как там svchost ?
[QUOTE=endoc;412994]
Как там svchost ?[/QUOTE]
[QUOTE]svchost.exe
Вредоносный код в файле не обнаружен.[/QUOTE] 8)
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]3[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]