я и ето тоже зделаю
Добавлено через 1 минуту
Логи вылажывать из под Live CD, или с под системы?
я и ето тоже зделаю
Добавлено через 1 минуту
Логи вылажывать из под Live CD, или с под системы?
Последний раз редактировалось siniypank; 09.08.2008 в 16:12. Причина: Добавлено
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
логи делать в системе.
Месть - мечта слабых, прощение - удел сильных.
Поддержать проект можно здесь
поразительно теперь они все Win32.Sector.9 а не 5 как раньше было
Лечите с DrWeb Live CD? После лечения желательно еще раз проверить, чтобы убедиться, все ли вылечено.
Месть - мечта слабых, прощение - удел сильных.
Поддержать проект можно здесь
да я его сейчас под Live CD а потоп из другого компа пройдусь по нему
Значит ситуация такова, проверял CureIT-ом из под LiveCD все екзешники заражыны были Win32.Sector 9 вылечил и несколь модифицированых Win32.Sector 5 которые не хотели лечить пришлось удалить, потом винт подключил к чистой машине и опять проверил CureIT-ом все было чисто, логи зделал из мучительной системы
Safe Mode - по прежнему не грузиться но зато диспетчер зада и реестр запускаеться. Да еще при запуске диспетчера задач чере 15 сек в процесах появляеться wuauclt.exe, а также много процесов svchost и переодически то появляеться то исчезает какойто LOCAL~
Выполните скрипт в AVZ:
Компьютер перезагрузится.Код:begin ClearQuarantine; SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\HPDESK\lttwn80n.dll',''); DeleteFile('C:\WINDOWS\system32\drivers\jlqoin.sys'); BC_ImportALL; ExecuteSysClean; BC_DeleteSvc('asc3360pr'); BC_Activate; ExecuteRepair(10); ExecuteRepair(11); ExecuteRepair(17); RebootWindows(true); end.
Пришлите карантин согласно приложению №3 правил (загружать здесь: http://virusinfo.info/upload_virus.php?tid=27725 ).
Очистите временные папки и кеш браузера.
Проверьте, заработал ли безопасный режим.
Сделайте полную проверку в AVPTool.
У Вас подозрительные записи в файле Hosts - его можно очистить таким скриптом в AVZ:
Сделайте новые логи.Код:begin ClearHostsFile; end.
Месть - мечта слабых, прощение - удел сильных.
Поддержать проект можно здесь
Извените но карантин отправил без пароля
Добавлено через 9 минут
На ноч я ставил полнуюю проверку CureIT-ом так он нашел модифицированых Win32.Sector 5 по пути D:\System Volume Information\_restore{C74DFD9F-30CA-4D20-BFF0-B43E1F1064A4}\RP276 - удалил
Последний раз редактировалось siniypank; 10.08.2008 в 09:59. Причина: Добавлено
А кто ж Вас надоумил, системное восстановление включить...Сообщение от siniypank
Я его не включал (как отключил согласно правил так и не трогал)
Добавлено через 2 минуты
оно и сейчас отключено
Последний раз редактировалось siniypank; 10.08.2008 в 13:21. Причина: Добавлено
Проверил AVPTool было найдено 2 штуки Worm.Win32.AutoRun.lnr (в AVZ) и троянская программа Trojan-Downloader.Win32.Mutant.atz (в NOD32) я их удалил. Вот следуюшие логи
А где же доктор зловреда нашел:D:\System Volume Information\_restore{C74DFD9F-30CA-4D20-BFF0-B43E1F1064A4}\RP276
У меня два диска С - системный D- простой, нашел он его тогда когда проверял из под системы ане из LiveCD и с помошю другова компа
Добавлено через 3 минуты
Safe Mode - уже работает за что большое спасибо
Последний раз редактировалось siniypank; 10.08.2008 в 15:00. Причина: Добавлено
В логах чисто:
Имеется
Должно бытьКод:Platform: WindowsXP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) C:\Program Files\Java\jre1.5.0_06\
Вопросы, пожелания, проблемы?Код:Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16674) C:\Program Files\Java\jre1.6.0_07\
По информации из лога AVZ системное восстановление у Вас отключено.
Похоже, мы победили файловый вирус - поздравляю
На всякий случай выполните такой скрипт в AVZ:
Какие-то проблемы остались?Код:begin DeleteFileMask('D:\System Volume Information', '*.*', true); RebootWindows(false); end.
Месть - мечта слабых, прощение - удел сильных.
Поддержать проект можно здесь
Огромное при огромное вам спасибо за помощь, ведь Вы мне дали возможность в понедельник уйти в отпуск с чистой душой. Как мне Вас отблагодорить?
Посмотрите ссылку в подписи у меня или у коллеги kps
Я еще вчера той сылочкой воспользовался , и завтра еще воспользуюсь
Последний раз редактировалось siniypank; 10.08.2008 в 22:14.
Статистика проведенного лечения:
- Получено карантинов: 7
- Обработано файлов: 49
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\iexplorer.exe - Trojan.Win32.Buzus.niu (DrWEB: Trojan.MulDrop.18267)
- c:\\windows\\services.exe - Virus.Win32.Sality.aa (DrWEB: Win32.Sector.9)
- f:\\autorun.inf - Worm.Win32.AutoRun.lnr (DrWEB: Win32.HLLW.Autoruner.2566)
- f:\\erth.exe - Virus.Win32.Sality.aa (DrWEB: Win32.Sector.9)
- f:\\ipyixv.exe - Virus.Win32.Sality.aa (DrWEB: Win32.Sector.9)
- f:\\osypp.exe - Virus.Win32.Sality.aa (DrWEB: Win32.Sector.9)
- f:\\qvbe.exe - Virus.Win32.Sality.aa (DrWEB: Win32.Sector.9)
- f:\\vtopg.cmd - Virus.Win32.Sality.aa (DrWEB: Win32.Sector.9)
Уважаемый(ая) siniypank, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
