Я чист?Или бацылы еще во мне?
Кстати, здесь же на форуме есть тема с рекомендоваными антивирусами. Среди них нет AVZ. Как понять - AVZ - это для экстренных случаев?
Я чист?
Кстати, здесь же на форуме есть тема с рекомендоваными антивирусами. Среди них нет AVZ. Как понять - AVZ - это для экстренных случаев?
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Опять оно живо под другим именем!
Выполните такой скрипт:
Если что-то попадет в карантин - пришлите.Код:begin ClearQuarantine; QuarantineFile('c:\windows\system32\msrr.exe',''); DeleteFile('c:\windows\system32\msrr.exe'); BC_ImportALL; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Удалите строчку с 'c:\windows\system32\msrr.exe' через AVZ - Менеджер ActiveSetup.
IceSword - force delete: C:\WINDOWS\System32\drivers\Gms38.sys
Сразу же скрипт в AVZ:
и новый лог syscheck.Код:begin BC_DeleteSvc('Gms38'); BC_DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll'); BC_DeleteFile('C:\WINDOWS\System32\drivers\Gms38.sys'); BC_Activate; RebootWindows(true); end.
Добавлено через 1 минуту
AVZ - не антивирус, а инструмент воина-освободителя
Последний раз редактировалось Bratez; 01.03.2008 в 17:35. Причина: Добавлено
I am not young enough to know everything...
Бесполезно, судя по-всему...опять в драйверах появляется левый файлик...каждый раз под новым именем, но не сразу после ребута, а спустя какое-то время.
Вот лог.
Последний раз редактировалось Ven; 02.03.2008 в 18:25.
ftp://ftp.kaspersky.ru/utils/getsyst...SystemInfo.exe
Сделайте ей скан и заархивированный лог прикрепите
ОК. Делаю. У McAfee есть такая цацка, как защита доступа...так вот там можно выставить запрет на запись в папку и если вдруг какой-то процесс попытается писать, то маккафи скажет что это за процесс.
Вот лог.
Последний раз редактировалось Ven; 02.03.2008 в 18:25.
\??\C:\WINDOWS\System32\drivers\Flq40.sys ("\\?\c:\windows\system32\drivers\flq40.sys") File version = (null), File size = 26240, File modification date = 01/03/2008 14:52, File description = (null), Product Name = (null), Product version = (null), Company name = (null) |-818417260|0x86b6a9522ee523037456dfb7a641d72d|
А Вы на время всех скриптов\удаления Ice Sword-ом интернет отключали? и антивирус?
Интернет не отключал. Антивирус - да, точней у меня его прсото нет. Вот хочу сейчас касперского 7-го поставить.
Интернет нужно отключать
IceSword - force delete: C:\WINDOWS\System32\drivers\flq40.sys
Сразу же скрипт в AVZ:
и новый лог syscheck.Код:begin BC_DeleteSvc('flq40'); BC_DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll'); BC_DeleteFile('C:\WINDOWS\System32\drivers\flq40.sys'); BC_Activate; RebootWindows(true); end.
Как я понимаю, все проблемы от svchost.exe
У нас новый гость-блезнец: Djp62.sys
Последний раз редактировалось Ven; 02.03.2008 в 18:25.
Надо подумать...
svchost.exe можно заменить заведомо здоровым?
Я сейчас поставил проверку в Касперском....посмотрим что он найдет.
Сначала сделайте проверку... svchost.exe по-моему легитимный, с подписями Майкрософта...
Выполните скрипт в безопасном режимеЗагрузите карантин согласно приложению №3 правил.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(true); DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll'); BC_DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll'); BC_Activate; ExecuteSysClean; RebootWindows(true); end.
AVZ => Файл => Мастер поиска и устранения проблем. Категория проблемы - поставьте "Системные проблемы", степень опасности - "Все проблемы". Нажмите "Пуск". Всё найденное следует пометить и пофиксить. Данную операцию повторить для категории "Настройки и твики браузера".
Повторите логи.
После этого проверьте в IceSword'e http://virusinfo.info/showthread.php?t=17228, есть ли файл C:\WINDOWS\system32\WLCtrl32.dll и если есть, удалите, как написано в инструкции (force delete и перезагрузка).
Месть - мечта слабых, прощение - удел сильных.
Поддержать проект можно здесь
Я грешу на svchost.exe из-за того, что Касперский говорил о том, что этот процесс пытается отправить почту и т. п.
Я правильно понимаю, что в безопасном режиме делается только выполнение скрипта, а остальное уже в обычном режиме?
Я смогу сделать это только 2.03.2008 примерно в 11 часов по Москве...а то и в 12. Надеюсь, здесь будут те, кто сможет помочь.
Спасибо всем, кто помогает и вообще всему проекту
Не надо на него грешить. Он прошел по базе безопасных и рассылал почту не своей воли, а по принуждению зловредного драйвера. Вы всё правильно поняли.Сообщение от Ven
Да, кстати, безопасный режим - с поддержикой сети или без нее?
Без. Однозначно.
Сразу скажу чтоб небыло непонятностей - я на ночь оставлял касперского искать руткиты. Он понаходили кучу вирусов. Если надо - могу лог прислать лог того, чо он нашел. Один файл он удалить не мог (c:\windows\system32\msjq.exe), я удалил его через через IceSword.
Скрипт выполнил в безопасном режиме...комп ушел в нормальный ребут. Я сразу глянул в карантин - там пусто (возможно, касперский постарался).
Проблемы пофиксил.
Логи прикрепил.
Файлика нет.
Последний раз редактировалось Ven; 02.03.2008 в 18:25.
Уважаемый(ая) Ven, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
