Так получилось, высылаю.
PS точку с запяотй вирусом смыло (c)
Так получилось, высылаю.
PS точку с запяотй вирусом смыло (c)
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-получилось, да не так... т.е. сам карантин то есть, но вот содержимого runas.exe в нем нет... ведь єтот скрипт даже C:\WINDOWS\explorer.exe в карантин помещает... ну, а это значит одно из двух, - либо runas.exeСообщение от alexsmf
уже нет по указанному адресу, либо он очень хорошо защищается от AVZ
-пепел между клавиш попал (С)
С уважением,
Alex Plutoff
А. ПЛАТОВ
в папке C:\WINNT\system32 есть runas.exe (
так поместите же его в карантин (Правила Приложение 2) и закачайте его (Правила Приложение 3)
Последний раз редактировалось Rene-gad; 01.04.2008 в 10:21.
ситуация следующая:
поместить в карантин runas.exe получается только выполнив последний скрипт, выслал его вам.
в папке system32 он до сих пор есть.
Файл в карантин не попал, попал только *.ini. Скопируйте файл куда-нибудь (напр. на десктоп) и закачайте согласно приложениям 2 и 3 Правил.
закачал файл runas.exe в архиве
Чистый он, оригинальный от Мелкомягких. Еще какие-то проблемы есть?
к сожалению да, amvo не изчез, опять не вижу скрытых файлов((
наверное все флешки были заражены. щас протестю антивирусом еще разок
как защитить комп от вируса на флешке?
еще раз выполнил первоначальные действия, вот логи.
Выполните в АВЗ
Загрузите карантин согласно приложения 3 правил.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\DOCUME~1\User\LOCALS~1\Temp\SANDRA.sys',''); RegKeyDel('HKLM','SOFTWARE\Microsoft\Code Store Database\Distribution Units\{33331111-1131-1111-1111-611111193428}'); RegKeyDel('HKLM','SOFTWARE\Microsoft\Code Store Database\Distribution Units\{33331111-1111-1111-1111-615111193427}'); RegKeyDel('HKLM','SOFTWARE\Microsoft\Code Store Database\Distribution Units\{33331111-1111-1111-1111-611111193429}'); RegKeyDel('HKLM','SOFTWARE\Microsoft\Code Store Database\Distribution Units\{33331111-1111-1111-1111-611111193423}'); QuarantineFile('C:\mvxm.cmd',''); QuarantineFile('C:\autorun.inf',''); QuarantineFile('C:\WINNT\system32\amvo1.dll',''); QuarantineFile('C:\WINNT\system32\amvo0.dll',''); QuarantineFile('C:\WINNT\system32\amvo.exe',''); DeleteFile('C:\WINNT\system32\amvo.exe'); DeleteFile('C:\WINNT\system32\amvo0.dll'); DeleteFile('C:\WINNT\system32\amvo1.dll'); DeleteFile('C:\autorun.inf'); DeleteFile('C:\mvxm.cmd'); DeleteFile('D:\autorun.inf'); DeleteFile('D:\mvxm.cmd'); DeleteFile('G:\autorun.inf'); DeleteFile('G:\mvxm.cmd'); DeleteFile('H:\autorun.inf'); DeleteFile('H:\mvxm.cmd'); BC_ImportAll; ExecuteSysClean; ExecuteRepair(6); ExecuteRepair(8); BC_Activate; RebootWindows(true); end.
Повторите логи.
новые логи
запуститесь с Линукса-Live-CD (Knoppix, Mandriva etc.) и форматните все Ваши флешки под FAT32. Предварительно Вы можете перенести важную информацию напр. на компактдиск или чистую флешку.
простите за безграмотность, это как?
SANDRA.sys - это Вам знакомо? Остальных удалили. Кстати все новые. Вы отключали автозапуск с флешек?
скачиваем ISO-файл дистрибутива http://www.knopper.net/knoppix-mirrors/index-en.html или http://cgi.zdnet.de/c/?s=32&t=http%3...CEN_is-wc.html - язык системы можно выбрать при запуске, делаем компакт диск, вставляем в CD-драйв, перегружаемся, грузимся с CD, оказываемся в Линуксе, который этих зверей не боится.
Делаем , что надо, перегружаем ПК, загрузку с компактдиска не производим При этом запускается Винда, как обычно.
Угу, знакомо
http://www.softwaretipsandtricks.com...Sandrasys.html
Последний раз редактировалось Rene-gad; 02.04.2008 в 00:38.
sandra.sys не знакомо
не отключал, я их пока никуда в другие места не вставлял, они щас подключены к компу и тоже лечатся))
sandra.sys это вроде тест, или я ошибаюсь?
Добавлено через 9 минут
можно ли теперь считать вирус побежденным?
Последний раз редактировалось alexsmf; 02.04.2008 в 00:35. Причина: Добавлено
Я же говорил, то врагов в логах нет. Как система поживает?
Спасибо, ребята! Все хорошо!!!
Уважаемый(ая) alexsmf, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
