Тотальный конект

**Voyka** · 03.10.2007, 16:52

в безопасном режиме и syscure.zip получилось...

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**PavelA** · 03.10.2007, 16:57

Выполнить скрипт в Safe Mode:

Код:

begin
Clearquarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\drivers\IdeChnDr.sys','');
 QuarantineFile('system32\DRIVERS\Ip6Fw.sys','');
 QuarantineFile('\??\C:\fwdrv.sys','');
 BC_DeleteFile('C:\fwdrv.sys');
 BC_DeleteSvc('fwdrv');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Загрузить карантин, если в него что-то попадет.

**Voyka** · 03.10.2007, 17:26

Выпонил.
? загрузить это в смысле прислать по этой ссылке то что в карантине http://virusinfo.info/upload_virus.php?tid=12884

**V_Bond** · 03.10.2007, 17:43

именно ...

**Voyka** · 03.10.2007, 17:51

тогда уже отправил...

**PavelA** · 03.10.2007, 18:09

Файл tcpip.sys чистый.
Попробуй сделать скрипт лечения в норм. режиме.

**Voyka** · 04.10.2007, 02:41

syscure.zip не создаётся. Что делать?

**V_Bond** · 04.10.2007, 09:05

выполните скрипт ...

Код:

begin
 ClearQuarantine;
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 QuarantineFile('\WINDOWS\system32\ntkrnlpa.exe','');
 BC_ImportAll;
 BC_Activate;
 ExecuteSysClean;
 RebootWindows(true);
end.

пришлите крарантин согласно приложения 3 правил ...

**Voyka** · 04.10.2007, 09:46

после выполнения скрипта вместо перезагрузки такой ответ Failed to set data for 'DisplayName'

Ошибка в работе антируткита [Access violation at address 00404D1F in module 'avz.exe'. Read of address 6576206C], шаг [9]

**PavelA** · 04.10.2007, 10:06

Попробуй так:

Код:

begin
 ClearQuarantine;
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 QuarantineFile('C:\WINDOWS\system32\ntkrnlpa.exe','');
 BC_ImportAll;
 BC_Activate;
 RebootWindows(true);
end.

**Voyka** · 04.10.2007, 10:14

Тоже самое и пишет

Ошибка в работе антируткита [Out of memory], шаг [11]

**V_Bond** · 04.10.2007, 10:16

тогда так ...

Код:

begin
 ClearQuarantine;
 QuarantineFile('C:\WINDOWS\system32\ntkrnlpa.exe','');
 BC_ImportAll;
 BC_Activate;
 RebootWindows(true);
end.

**Voyka** · 04.10.2007, 10:18

Файл успешно помещен в карантин (C:\WINDOWS\system32\ntkrnlpa.exe)
Выполнен карантин файла C:\WINDOWS\system32\ntkrnlpa.exe

но потом сообщило вместо перезагрузки Failed to set data for 'DisplayName'

**V_Bond** · 04.10.2007, 10:28

C:\WINDOWS\system32\ntkrnlpa.exe -Trojan.Win32.Patched.au
лечится касперским и вебом ....
или можно заменить на чистый ...

**Voyka** · 04.10.2007, 10:48

Приогромнейшее Спасибо!!! Сейчас поменяю на новый. Это по видимому как в случае с ntoskrnl.exe

Добавлено через 18 минут

Надо заменять ntkrnlpa.exe с дистрибутива на чистый.
1. Перегрузить ПК.
2. Во время загрузки держать нажатой кнопку F8 для входа в загрузочное меню Windows XP.
3. Выбрать режим командной строки (Command Prompt).
4. Снова нажать F8.
5. Войти в систему под именем Администратора.
6. выполнить замену expand x:\i386\SP2.CAB\ntkrnlpa.exe y:\windows\system32\ntoskrnl.exe
x - буква CD, y - буква диска с windows xp

вот только я не понял надо набирать ntkrnlpa.exe или ntkrnlpa.ex_

**PavelA** · 04.10.2007, 11:08

ntkrnlpa.ex_ именно так набирать. Проверь, просмотри сидюк. Можно обычным поиском виндусовым поискать "ntkrnlpa.*"

**Voyka** · 04.10.2007, 17:12

Извините за наивный вопрос менять надо только тот файл что в папке system32?
Такой файл есть в нижеследующих папках...
C:\WINDOWS\system32
C:\WINDOWS\Driver Cache\i386\sp2.cab
C:\WINDOWS\SoftwaresDistributions\Download\9bc65f4 3c02cd90276cfdd30f2b6e103\sp2gdr
C:\WINDOWS\SoftwaresDistributions\Download\9bc65f4 3c02cd90276cfdd30f2b6e103\sp2qfe
C:\WINDOWS\SoftwaresDistributions\Download\a9b05a4 d6550fd78fa3f54d851d2d230\sp2gdr
C:\WINDOWS\SoftwaresDistributions\Download\a9b05a4 d6550fd78fa3f54d851d2d230\sp2qfe