К сожалению, в логах AVZ все по-старому . Есть вопрос - отключено ли восстановление системы (см. Приложение 1 правил)
Затем повторить скрипты предлагаемые ранее.
Карантин постараться загрузить, если что-то найдется.
На всякий случай скрипт ниже.
Код:
begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
QuarantineFile('C:\Documents and Settings\Юлия Александровна\Шаблоны\Brengkolang.com','');
QuarantineFile(C:\WINDOWS\BerasJatah.exe','');
DeleteFile('C:\WINDOWS\BerasJatah.exe');
ExecuteSysClean;
RebootWindows(true);
end.
Последний раз редактировалось pig; 30.01.2007 в 13:36.
Причина: Чуть поправил скрипт
Павел AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home) На up не реагирую
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
восстановление системы отключено.
повторяю: их давно нет! они есть только в автозагрузке! при загрузке система ругается на их отсутствие!
удалить из автозагрузки не могу - нет доступа к реестру...
Давайте пойдем другим путем.
В AVZ Сервис-- Менеджер автозапуска. Удаляем строчки, связанные с этими файлами.
Далее Менеджер управления заданиями -- удаляем задание.
Файл -- восстановление системы -- п.п.5,6,8
Перезагрузиться.
З.Ы. Файлы живы, в логе HijackThis про них missing не пишется. Либо лог сделан раньше, до удаления вируса.
Павел AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home) На up не реагирую
только что закачал свежую базу Нортона, проверил C:
ничего не найдено...
но симптомы остаются: при загрузке машины regedit.exe из системного каталога в памяти, выключение и перезагрузка системы невозможны.
ок, ща все сделаю, по поводу того, когда сделан лог - посмотри дату/время создания файла - за несколько минут, как запостить...
кроме того, перед тем как выполнять стандартные скрипты, как в AVZ так и в HijackThis старые логи переложил в отдельные папки соответствующей даты.
BerasJatah.exe из автозагрузки не удаляется... - чекбокс серый, недоступный...
в посках варианта удаления, нажал восстановить значения по умолчанию и... вместо него появился explorer.exe ... но его тоже не получается удалить...
то, что без него будет тоскливо, я в курсе
C:\WINDOWS\BerasJatah.exe - стоял в автозагрузке
удалить его я не смог - чекбокс недоступен...
причем он стоял там 2 раза - якобы еще и в system.ini
стоя на нем нажал кнопочку восстановить значения по умолчаниюи вместо него появился explorer !
system.ini - проверил, там чисто
удалил задание 'C:\Documents and Settings\Юлия Александровна\Шаблоны\Brengkolang.com'
перезагрузился
regedit.exe так и висит
увидев после перезагрузки девственно чистый стол(без картинки) полез вернуть ее взад и наткнулся на следующее:
C:\Documents and Settings\Юлия Александровна\Мои документы\Мои рисунки\about.Brontok.A.html
C:\Documents and Settings\Network Service\Мои документы\Мои рисунки\about.Brontok.A.html
оба одинакового содержания. желающие посмотреть есть?
хорошо, в принципе я спокоен
лог высылаю
но меня заинтересовала еще одна сточка в автозагрузке:
HKLM\Software\Microsoft\Windows\CurrentVersion\She llServiceObjectDelayLoad,WebCheck = c:\windows\system32\webcheck.dll
да, действительно так и было (как в описании)
но проблема не решена... сегодня машина, вернее инет-соединение с нее достаточно серьезно подтормаживает, при загрузке системы, в процессах висит regedit.exe и машина не выключается и не перезагружается, если не выгрузить его.
сейчас попробую проверить, затем отпишусь
Уважаемый(ая) Strangers, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
. Есть вопрос
- отключено ли восстановление системы (см. Приложение 1 правил)
Сообщение от Strangers
