-
Junior Member
- Вес репутации
- 57
Прошу Вас пойти на встречу и подробнее прописать последовательность моих действий.
Доброго вечера.
После подключения (аврал на работе) к машине непроверенного внешнего накопителя, с удивлением смотрел на появление на экране какой-то картинки с иероглифами. А из-за узости канала не сообразил во-время, что это такое.
Результат - слетел др. Веб, в аварийном режиме не грузит, инсталляцию (хотел АВИРУ загнать) - не разрешает (тупо прерывает - 1-2 мин в заставке - и привет), при сканировании и лечении слитым свежим Сканером др. Веб - обнаруживает и лечит win32.hllp.rox и еще пару вин32-х. Рапортует об удалении, после перезагрузки и повторном запуске сканера - воз и ныне там - опять определяем и лечим.
Мои действия - как и каким носителем доставить к больному лекарства? Я на флешку с которой упражнялся смотреть боюсь, не то что в домашний комп вставлять(
Прошу прощения, если туплю( Просто гуманитарий я по образованию, и посоветоваться не с кем - недавно в город другой переехал. Ну нет у меня тут знакомых-компьюторщиков(.
Заранее спасибо, Алексей.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
-
-
Junior Member
- Вес репутации
- 57
Спасибо, конечно, за реакцию - но про "сделать логи" я и сам прочел, и вообще форум читал часов 5 - вопрос в том, КАК доставить на больной комп ПО для того, чтобы сделать логи? На чем? На нем самом ПО НЕ устанавливается - я побывал установить АВИРУ - тишина.
Я об этом и спрашивал КУДА мне все устанавливать, где обновлять и тп...(
Алексей
-
Программы AVZ и HijackThis не требуют установки. Если скачать их из интернета непосредственно на больном ПК не удается, можно принести на CD-R и скопировать.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 57
Спс,
вечером попробую на безлимитном НЕТе. Сразу, на берегу - как лучше поступить с зараженной флешкой? Там информация не очень критично необходимая, но в-общем, спокойнее ее бы сохранить...
Алексей.
Добавлено через 11 часов 2 минуты
Я в тупике - что делать?
Скачал AVZ - виснет на этапе "1. Поиск RootKit...". Вглухую.
Скачал Hijack - виснет где-то на третей строчке скана, выдавая ошибку 70, и предлагая отправить рапорт фирме. На отказ в рапорте пробегает еще 10-15 строчек - висяк.
Инструкции?
PS. Шел строго по прописи в "правилах".
Алексей.
Последний раз редактировалось Sibirian; 04.03.2009 в 20:27.
Причина: Добавлено
-
Стандартный скрипт 2 сделайте...
-
-
Junior Member
- Вес репутации
- 57
Сейчас сделаю.
Алексей.
Добавлено через 43 минуты
Стандартный скрипт 2 - это "сбор информации для..." ? Виснет на Поиск РутКит"...(
Несколько попыток...
Алексей.
Последний раз редактировалось Sibirian; 04.03.2009 в 21:49.
Причина: Добавлено
-
-
-
Junior Member
- Вес репутации
- 57
Гриша! Заработало! Спасибо !
И спс за утешение по домашнему ящику - он у меня любимый).
Кстати - что делать с флешкой? Она тоже предположительно заражена. Или - потом? После основного?
Алексей.
Последний раз редактировалось Sibirian; 23.07.2009 в 12:06.
-
Junior Member
- Вес репутации
- 57
В смысле - заработал AVZ)
Логи приложил - там красным-красно)
Жду инструкций)
Алексей.
-
Это логи с того же компа?
-
-
Junior Member
- Вес репутации
- 57
С рабочего - там, где ничего не грузилось, и только Ваша ссылка на АВЗ помогла сделать логи. Логи, которые я отправил - с домашнего, для проверки правильности моих действий с программой-сканером.
Алексей. Прошу прощения за путаницу.
Добавлено через 44 секунды
Кстати - Джек до сих пор не сканит.
Последний раз редактировалось Sibirian; 04.03.2009 в 23:39.
Причина: Добавлено
-
Разные системы, разные темы, не путайте нас...
-
-
Junior Member
- Вес репутации
- 57
Еще раз извиняюсь - просто пока новичок. Последние логи именно к теме. Посмотрите?
Алексей.
Добавлено через 43 минуты
Прошу Вас посмотреть мои логи с зараженного компьютера - сообщение в этой теме в 22.59 от 04.03.09.
Заранее благодарен, жду инструкций. Алексей.
Последний раз редактировалось Sibirian; 05.03.2009 в 00:33.
Причина: Добавлено
-
Сообщения про домашний компьютер уехали в отдельную тему.
-
-
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\autorun.inf','');
QuarantineFile('C:\pagefile.pif','');
QuarantineFile('C:\WINDOWS\system32\dnsq.dll','');
QuarantineFile('C:\WINDOWS\system32\com\smss.exe','');
QuarantineFile('C:\WINDOWS\system32\com\netcfg.dll','');
QuarantineFile('C:\WINDOWS\system32\com\lsass.exe','');
DeleteFile('C:\WINDOWS\system32\com\lsass.exe');
DeleteFile('C:\WINDOWS\system32\com\netcfg.dll');
DeleteFile('C:\WINDOWS\system32\com\smss.exe');
DeleteFile('C:\WINDOWS\system32\dnsq.dll');
DeleteFile('C:\pagefile.pif');
DeleteFile('C:\autorun.inf');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=40947).
Повторите логи.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 57
Добрый вечер, по пунктам:
- скрипт в AVZ выполнен
- карантин согл. п3 Правил высылаю
- логи прилагаю
Жду дальнейших инструкций. Алексей.
Последний раз редактировалось Sibirian; 23.07.2009 в 12:06.
-
По ответу из ЛК были в карантине:
dnsq.dll,
netcfg.dll - Virus.Win32.Xorer.ee
lsass.exe,
pagefile.pif - Virus.Win32.Xorer.em
smss.exe - Virus.Win32.Xorer.dt
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 57
-
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
SetAVZGuardStatus(True);
RegKeyParamDel('HKLM', 'SYSTEM\CurrentControlSet\Control\Session Manager', 'PendingFileRenameOperations');
DeleteFile('c:\windows\system32\com\lsass.exe');
DeleteFile('c:\windows\system32\com\smss.exe');
DeleteFile('C:\WINDOWS\system32\com\netcfg.dll');
DeleteFile('C:\WINDOWS\system32\com\netcfg.000');
DeleteFile('C:\WINDOWS\system32\dnsq.dll');
DeleteFile('C:\pagefile.pif');
DeleteFile('C:\autorun.inf');
DeleteFile('C:\NetApi000.sys');
DeleteFile('C:\WINDOWS\System32\drivers\alg.exe');
DeleteFile('C:\037589.log');
DeleteFile('C:\WINDOWS\system32\AntiTool.exe');
DeleteFileMask('c:\', 'lsass.exe.*', false);
DeleteFile('D:\autorun.inf');
DeleteFileMask('c:\documents and settings\all users\Главное меню\Программы\Автозагрузка', '*.exe', false);
BC_ImportALL;
ExecuteSysClean;
BC_LogFile(GetAVZDirectory + 'boot_clr.log');
BC_Activate;
ExecuteRepair(6);
RebootWindows(true);
end.
Повторите логи...
-