Помогите пожалуйста почистить комп.
Помогите пожалуйста почистить комп.
AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.
После перезагрузки.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('mswshl.dll',''); QuarantineFile('C:\WINDOWS\system32\sрoоlsv.exe',''); QuarantineFile('C:\WINDOWS\system32\userinit.exe',''); QuarantineFile('C:\WINDOWS\SS2007.scr',''); QuarantineFile('c:\windows\system32\taskmgr.exe',''); RebootWindows(true); end.
Прислать карантин согласно приложения 3 правил .
Последний раз редактировалось drongo; 28.08.2007 в 14:56. Причина: добавил, на всякий случай ;)
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Файл сохранён как
070828_060745_virus_46d402019c7b2.zipРазмер файла2101217MD5f729310d240344f0d549bcb36958c1a0
Файл отправил.
P.S. CryptoPro - это нужная вещь
C:\WINDOWS\system32\sрoоlsv.exe DrWeb modification of Trojan.Packed.162
c:\windows\system32\taskmgr.exe DrWeb modification of Trojan.Packed.162
taskmgr.exe - необходимо заменить на чистый из дистрибутива ...
выполните скрипт ....
пришлите карантин согласно приложения 3 правил ....Код:begin ClearQuarantine; SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('C:\WINDOWS\system32\sрoоlsv.exe'); QuarantineFile('C:\WINDOWS\system32\userinit.exe',''); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
taskmgr вроде заменил (в безопасном режиме скопировал с дистрибутива taskmgr.ex_ и переименовал его (предварительно переименовав старый).
Скрипт выполнил, карантин отправил.
userinit.exe - судя по вирус тотал чистый ...
повторите логи ...
Пофиксте в HijackThis следующую строку:
O20 - Winlogon Notify: reset6 - mswshl.dll (file missing)
Перезагрузите компьютер.
Сделайте новые логи.
PS. Ответил синхронно с V_Bond
Пофиксил.
Логи высылаю.
P.S. Забыл указать сразу: после каждой перезагрузки открывается окно "Мои документы" и, когда закрываешь, висит около минуты в панели внизу, потом закрывается. Кроме того куда-то исчез значок отображения и переключения языка ввода на панели (при этом клавиатурное переключение работает).
Профиксить:
Код:F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,userinit.exe
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Профиксил.
Окошко всплывать перестало, но языковая панель похоже умерла совсем (может можно доставить ее с дистрибутива?)
в логах ничего вредного не замечено ....
пуск - control.exe - язык и региональные настройки - языки - подробнее - языковая панель - отоброжать
Профикси вот эту строчку.
O4 - HKCU\..\Run: [NeroFilterCheck] sрoоlsv.exe
C:\WINDOWS\system32\sрoоlsv.exe - вот этот файлик тоже надо заменить.
Про языковую панель сейчас поищу.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
To V_Bond
Это недоступно, кнопка "Яз.панель" серая неактивная
Вкладка "Дополнительно", снимите галку "Выключить доп. текстовые службы". Кнопка оживет.кнопка "Яз.панель" серая неактивная
I am not young enough to know everything...
To Bratez
Не оживает, после перезагрузки (и в защищенном режиме тоже) галка возвращается.
CTFMON.EXE - вот это должно висеть в процессах.
Посмотри http://support.microsoft.com/kb/282599/ru
Можно попробовать запустить его в ручную.
На всякий случай, надо поместить C:\WINDOWS\system32\ctfmon.exe в карантин и прислать для проверки.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
to PavelA.
C:\WINDOWS\system32\sрoоlsv.exe - вот этот файлик тоже надо заменить.
После замены этого файла комп перестает видеть принтер (и сетевые принтеры), переустановка принтера не помогает, пришлось вернуть файл назад.
Можно попробовать запустить его (CTFMON) в ручную.
Запускается, собщений о ошибке нет и реакции никакой, ничего не меняется.
Файл сейчас пришлю.
Кроме того в процессе лечения компа вдруг система при запуске стала обнаруживать новое устройство и запускать мастер установки. При отключении его вроде все работает. Заподозрил, что это связано с моими мучениями с AVZ из-за информации (единственной) об устройстве - код экземпляра устройства ROOT\LEGASY_AVZRK\0000.
Так же почему-то в проводнике заголовок папки (и все ее содержимое) c:\windows\system32\dllcach стало синим вместо черного. Что-бы это значило?
Последний раз редактировалось pribor; 30.08.2007 в 14:47. Причина: удвоился текст
Есть предложение: вставить установочный диск вашей версии Windows, открыть окошко командной строки и набрать sfc /scannow. А еще лучше выполнить установку поверх вашей в режиме обновления/восстановления. Тогда уж точно все пропатченные, залеченные и испорченные файлы системы будут заменены оригиналами.
Папка dllcache при использовании NTFS всегда по умолчанию сжимаемая, и если в настройках проводника указано "выделять цветом сжатые папки и файлы" - она будет синяя вместе с содержимым.Так же почему-то в проводнике заголовок папки (и все ее содержимое) c:\windows\system32\dllcach стало синим вместо черного. Что-бы это значило?
I am not young enough to know everything...
Установленное матобеспечение не слетит?
P.S. Кстати и taskmenedger перестал запускаться. "Процессор NTVDM обнаружил недопустимую инструкцию"
Нет, не слетит.Установленное матобеспечение не слетит?
I am not young enough to know everything...
Уважаемый(ая) pribor, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.