В процессе борьбы с вирусами, точнее троянами, пропало содержимое рабочего стола. Восстанавливаю, перегружаю комп - опять пропадает. Хотя Куреит вроде ничего больше не находит, но чуствую, есть он, как тот суслик.
В процессе борьбы с вирусами, точнее троянами, пропало содержимое рабочего стола. Восстанавливаю, перегружаю комп - опять пропадает. Хотя Куреит вроде ничего больше не находит, но чуствую, есть он, как тот суслик.
Последний раз редактировалось lop; 02.09.2008 в 13:34.
От такого количества зверья все что угодно пропасть может
Вот скрипт:
Загрузить весь карантин. Сделать новые логи.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\ntos.exe',''); QuarantineFile('ovrscn.dll',''); QuarantineFile('ke64boot.dll',''); QuarantineFile('c:\windows\system32\windres.exe',''); QuarantineFile('c:\windows\system32\undname.exe',''); QuarantineFile('c:\windows\system32\pdbcopy.exe',''); QuarantineFile('c:\windows\system32\ndetect.exe',''); QuarantineFile('C:\WINDOWS\system32\tmp_vf.dll',''); QuarantineFile('C:\WINDOWS\system32\drivers\symavc32.sys',''); QuarantineFile('C:\WINDOWS\System32\drivers\protect.sys',''); QuarantineFile('C:\WINDOWS\system32\ksys.sys',''); QuarantineFile('C:\WINDOWS\System32\drivers\ctl_w32.sys',''); DeleteFile('C:\WINDOWS\System32\drivers\ctl_w32.sys'); DeleteFile('C:\WINDOWS\System32\drivers\protect.sys'); DeleteFile('C:\WINDOWS\system32\drivers\symavc32.sys'); DeleteFile('C:\WINDOWS\system32\tmp_vf.dll'); DeleteFile('c:\windows\system32\ndetect.exe'); DeleteFile('c:\windows\system32\pdbcopy.exe'); DeleteFile('c:\windows\system32\undname.exe'); DeleteFile('c:\windows\system32\windres.exe'); DeleteFile('ke64boot.dll'); DeleteFile('ovrscn.dll'); DeleteFile('C:\WINDOWS\system32\ntos.exe'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Скрипт выполнил. Теперь после скрипта лечения/карантина перегружать нужно?
Должна была сама перезагрузиться после моего скрипта.
Да, и после стандартного тоже.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Вообще то да, написано в правилах.
Давайте такой скрипт выполните, чтобы вернуть ваш стол :
Код:begin ExecuteRepair(6); ExecuteRepair(8); ExecuteRepair(9); RebootWindows(true); end.
*Нажми и выполни, если хочешь чтобы помощь улучшилась и ускорилась
*MyFirefox Portable
special avz @ rapidshare.com
md5: 2091925798B7909E010E3F7E328C5F0D
последний выполнил, ещё раз логи?
Последний раз редактировалось lop; 02.09.2008 в 13:34.
Стол пустой, хотя в папке того пользователя, под которым я вроде вхожу ("C:\Documents and Settings\statserver.ROLAND\Рабочий стол"), ярлыки есть.
Карантин прислал?
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Да у Вас трояны не только ярлыки, но сам стол вынести в состоянии
Пофиксите
Еще один скриптКод:O20 - Winlogon Notify: arm32reg - C:\WINDOWS\ O20 - Winlogon Notify: ati2paag - ati2paag.dll (file missing) O20 - Winlogon Notify: ke64boot - C:\WINDOWS\ O20 - Winlogon Notify: ovrscn - C:\WINDOWS\ O23 - Service: FCI FCIaspnet_state (FCIaspnet_state) - Unknown owner - C:\WINDOWS\system32\w32drv10.exe (file missing) O23 - Service: Microsoft Inet Service - Unknown owner - C:\WINDOWS\system32\_svchost.exe (file missing)
Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\fwdrv.sys',''); DeleteService('fwdrv.sys'); StopService('fwdrv.sys'); QuarantineFile('C:\WINDOWS\system32\SoUI.dll',''); QuarantineFile('C:\WINDOWS\system32\rtnka.dll',''); DeleteFile('C:\WINDOWS\system32\rtnka.dll'); DeleteFile('C:\WINDOWS\system32\SoUI.dll'); DeleteFile('C:\fwdrv.sys'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Извините, сегодня уже не смогу - выгоняют из помещения. Завтра!
ещё раз сделал логи. Что-нибудь ещё?
Последний раз редактировалось lop; 02.09.2008 в 13:34.
Угу.
Пофиксить
СкриптКод:O2 - BHO: (no name) - {EF3446E8-FC32-4E55-9C56-0B8DA015FC10} - (no file) O23 - Service: FCI FCIaspnet_state (FCIaspnet_state) - Unknown owner - C:\WINDOWS\system32\w32drv10.exe (file missing)
Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\ovwscn.sys',''); QuarantineFile('C:\WINDOWS\system32\ovrscn.sys',''); QuarantineFile('C:\WINDOWS\system32\ksys.sys',''); DeleteService('ovwscn'); StopService('ovwscn'); DeleteService('ovrscn'); StopService('ovrscn'); DeleteService('NDnet1'); StopService('NDnet1'); DeleteFile('C:\WINDOWS\system32\ksys.sys'); DeleteFile('C:\WINDOWS\system32\ovrscn.sys'); DeleteFile('C:\WINDOWS\system32\ovwscn.sys'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
но 023 не пропал, даже после перезагрузки.
пофиксите и давайте еще такой скрипт прогоним
После ребута логи повторите.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); StopService('Microsoft Inet Service'); DeleteService('Microsoft Inet Service'); StopService('FCIaspnet_state'); DeleteService('FCIaspnet_state'); QuarantineFile('C:\WINDOWS\system32\_svchost.exe',''); QuarantineFile('C:\WINDOWS\system32\w32drv10.exe',''); DeleteFile('C:\WINDOWS\system32\_svchost.exe'); DeleteFile('C:\WINDOWS\system32\w32drv10.exe'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Логи:
Последний раз редактировалось lop; 02.09.2008 в 13:34.
Уважаемый(ая) lop, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.