Junior Member
Вес репутации
61
Вирус под именем Korgo
Сразу скажу что вирус определяется NOD32 и Dr.Web, но удалиться не может.
Что происходит
Блокируется Windows Installer, дословно окошко с таким текстом:
Не удается получить доступ к службе Windows Installer.
Либо Windows работает в защищенном режиме, либо
служба Windows Installer установлена неправильно.
Последствия: невозможно удалять и устанавливать программы и приложения
Вложения
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
ExecuteAVUpdate ;
QuarantineFile('C:\WINDOWS\System32\kernels32.exe','');
QuarantineFile('C:\WINDOWS\System32\drivers\PfModNT.sys','');
QuarantineFile('\SystemRoot\System32\Drivers\StarOpen.SYS','');
DeleteFile('C:\WINDOWS\System32\kernels32.exe');
BC_ImportDeletedList;
BC_ImportQuarantineList;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
"Пофиксите" в HijackThis
Код:
O4 - HKLM\..\Run: [System] C:\WINDOWS\System32\kernels32.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O15 - Trusted Zone: *.ssaabb.com
O16 - DPF: {33331111-1111-1111-1111-615111193427} -
Загрузите карантин по этой ссылке. Повторите логи.
1. Перед выполнением вышесказанного отключите восстановление системы!
2. Перед созданием новых логов обновите базы AVZ.
I am not young enough to know everything...
2. Перед созданием новых логов обновите базы AVZ.
Скрипт выполнит.
Junior Member
Вес репутации
61
Простите за дремучесть: не знаю как отключить восстановление системы
Сообщение от
denzubkov
Простите за дремучесть: не знаю как отключить восстановление системы
Правила. Приложение 1. Как отключить восстановление системы.
Опыт — это слово, которым люди называют свои ошибки.
Junior Member
Вес репутации
61
Все не надо - нашел сам))
Мой компьютер - свойства - вкладка "Восстановление"
Сообщение от
denzubkov
Все не надо - нашел сам))
Сам?
Опыт — это слово, которым люди называют свои ошибки.
Вам понадобиться скорее всего переустановить службу Windows Installer. Соответствующий пакет можно скачать отсюда
Left home for a few days and look what happens...
Junior Member
Вес репутации
61
Вопрос, а мне нужно заново выполнять скрипт
"Скрипт лечения/карантина и сбора информации для раздела "Помогите!" virusinfo.info"
Добавлено через 2 минуты
ALEX(XX)
Гениально и просто?)) Сейчас попробую...
Добавлено через 3 минуты
ALEX(XX)
А нужно перед установкой удалять старый?
Боязно как-то, вдруг новый не установиться?
Последний раз редактировалось denzubkov; 04.11.2007 в 17:59 .
Причина: Добавлено
Гениально и просто?)) Сейчас попробую...
На двух машинах уже так делал, помогло
Left home for a few days and look what happens...
Junior Member
Вес репутации
61
ALEX(XX)
А нужно перед установкой удалять старый?
Боязно как-то, вдруг новый не установиться?
Сообщение от
denzubkov
ALEX(XX)
А нужно перед установкой удалять старый?
Боязно как-то, вдруг новый не установиться?
Должен установиться. Удалять... Не удалял, просто ставил да и всё. Единственное что, система у Вас должна быть полностью вылечена от заразы.
Left home for a few days and look what happens...
Junior Member
Вес репутации
61
Спасибо всем, кто проявил внимание к моей теме.
Кому интересно, причина была просто идиотской.
Как оказалось у меня одновременно работали две
версии Windows Installer 3.0 и 3.1
Судя по всему они конфликтовали.
Удалил 3.0 и ву-а-ля))))))))
А вирусы спокойно обитали в system 32))))))))
Добавлено через 3 минуты
Сообщение от
Maxim
Вы TeoSoft.com удалили?
Теперь удалил)) Блин как я рад, что все работает)))))))
Последний раз редактировалось denzubkov; 04.11.2007 в 18:15 .
Причина: Добавлено
Сделайте ещё раз логи и карантин отправьте.