Сканировал доктором вебом, одновления сегодняшние. Нашел файл зараженный этим вирем в c:\windows\temp файл вида bn25.tmp Вылечить его не смог, предложил только удалить, что я и сделал.
AVZ ничего не нашел.
Сканировал доктором вебом, одновления сегодняшние. Нашел файл зараженный этим вирем в c:\windows\temp файл вида bn25.tmp Вылечить его не смог, предложил только удалить, что я и сделал.
AVZ ничего не нашел.
Выполните скрипт в AVZ:
Затем еще один:Код:begin SearchRootkit(false, true); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\Bgl27', 'Start'); RebootWindows(true); end.
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); StopService('Bgl27'); SetServiceStart('Bgl27', 4); QuarantineFile('c:\windows\system32\..\svchost.exe',''); QuarantineFile('C:\WINDOWS\system32\Drivers\Bgl27.sys',''); DeleteFile('C:\WINDOWS\system32\Drivers\Bgl27.sys'); DeleteFile('c:\windows\system32\..\svchost.exe'); DeleteFile('C:\Documents and Settings\Popov-vi\Local Settings\Temp\catchme.sys'); BC_ImportALL; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=16560).
Сделайте новые логи.
I am not young enough to know everything...
поблема сохранилась. При загрузке системы докторвеб находит подобный файлик и лечит его...
Нужен лог syscheck (п.10 правил).
I am not young enough to know everything...
вот
Не поддается...
Выполните такой скрипт:
После перезагрузки прикрепите файл boot_clr.log из папки с AVZ и повторите лог syscheck.Код:begin RegKeyIntParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Hardware Profiles\0001\System\CurrentControlSet\Enum\ROOT\LEGACY_Bgl27\0000', 'CSConfigFlags', '1'); BC_QrFile('C:\WINDOWS\System32\drivers\Bgl27.sys'); BC_DeleteSvc('Bgl27'); BC_DeleteFile('C:\WINDOWS\System32\drivers\Bgl27.sys'); BC_DeleteSvc('smtpdrv'); BC_LogFile(GetAVZDirectory + 'boot_clr.log'); BC_Activate; RebootWindows(true); end.
I am not young enough to know everything...
готово, но файла boot_clr.log в папке нет.. и вообще в системе не обнаружен
выполните скрипт ...
пришлите карантин согласно приложения 3 правил ...Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\DRIVERS\Ip6Fw.sys',''); QuarantineFile('C:\WINDOWS\system32\DRIVERS\smtpdrv.sys',''); BC_ImportAll; BC_Activate; RebootWindows(true); end.
Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\system32\DRIVERS\Ip6Fw.sys)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\system32\DRIVERS\Ip6Fw.sys)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\system32\DRIVERS\smtpdrv.sys)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\system32\DRIVERS\smtpdrv.sys)
Карантин с использованием прямого чтения - ошибка
не дает запустить AVZPM
Все же откройте просмотр карантина, там в самом деле пусто?
I am not young enough to know everything...
да он то в принципе и не нужен .... пробуйте так ... (скрипт подправил)
он выдает это сообщение и все... в карантине три файла с расширением .bak .. этот карантин я скидывал в начале..
пришлите посмотрим что в ini написано ...
ушло
вообще вы что -то не то прислали ...
это все, что есть в карантине... а эти два файла, по скрипту не добавляются в карантин... авз выдает ошибку... указанную выше
Попробуйте так:
Код:begin ClearQuarantine; BC_QrFile('C:\WINDOWS\system32\DRIVERS\Ip6Fw.sys'); BC_QrFile('C:\WINDOWS\System32\DRIVERS\smtpdrv.sys'); BC_DeleteFile('C:\WINDOWS\System32\DRIVERS\smtpdrv.sys'); BC_DeleteSvc('smtpdrv'); BC_Activate; RebootWindows(true); end.
I am not young enough to know everything...
при выполнении скрипта ничего не происходит. После перезагрузки карантин все так же пуст
Добавлено через 2 минуты
файл Ip6Fw.sys сейчас располагается в c:\windows\system32\dllcache
smtpdrv.sys - удален, на разделе с: не обнаруживается, либо хитро запрятан
Последний раз редактировалось Gastronom47; 17.01.2008 в 18:08. Причина: Добавлено
c:\windows\system32\dllcache\Ip6Fw.sys на всякий случай пришлите, хотя он вряд ли плохой. smtpdrv.sys должен был удалиться последним скриптом. Сделайте еще раз лог syscheck, наверно на этом дело будет окончено.
I am not young enough to know everything...
готово!
Уважаемый(ая) Gastronom47, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.