Спасибо за свет в конце тоннеля панель управления и отключение восстановление системы появилось. Выслал карантин сделал логи
Спасибо за свет в конце тоннеля панель управления и отключение восстановление системы появилось. Выслал карантин сделал логи
Но прежде всего конечно профиксил как вы указали и выполнил тот предыдущий скрипт.
пофиксите ...
выполните скрипт ...Код:O4 - HKUS\S-1-5-18\..\Run: [userinit] C:\WINDOWS\system32\ntos.exe (User 'SYSTEM') O20 - AppInit_DLLs: murka.dat
повторите логи ...Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteService('msupdate'); DeleteService('wincom32'); DeleteService('windev-7a11-1dbf'); DeleteFile('c:\windows\medichi.exe'); DeleteFile('c:\windows\medichi2.exe'); DeleteFile('c:\windows\system32\ntos.exe'); DeleteFile('C:\WINDOWS\system32\users32.dat'); DeleteFile('C:\WINDOWS\murka.dat'); DeleteFile('C:\WINDOWS\system32\windev-7a11-1dbf.sys'); DeleteFile('C:\WINDOWS\system32\wincom32.sys'); DeleteFile('c:\windows\system32\msvcrtd.exe'); DeleteFile('C:\WINDOWS\System32\Drivers\Beep.SYS'); BC_DeleteSvc('msupdate'); BC_DeleteSvc('Beep'); BC_DeleteSvc('wincom32'); BC_DeleteSvc('windev-7a11-1dbf'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Cпасибо.выполнил предписания и сделал логи
вы отключаете антивирус перед выполнением скрипта .... ?
обновите базы авз !!!
Aнтивирус отключен.disabled protection -может дезинсталировать его? обновление баз -в процессе появляется тот же error loading [21,00002EFD].Спасибо
Добавлено через 1 минуту
а что собственно наблюдается у вас?
Добавлено через 2 минуты
Вопрос имеет ли значение с какой учетной записи выполняется скрипты и тп? обязательно требуется это делать с учетной записи админа компа ?
Последний раз редактировалось orbison; 23.02.2008 в 00:09. Причина: Добавлено
скрипт только под админом ( с правами админа)....
обновления можно скачать http://z-oleg.com/secur/avz_up/avzbase.zip (вся база целиком)
Админ отключил восстановление системы и антивирус -остальное делалось с ограниченной учетной записи.. так как сейчас быть?
скрипты с ограниченной учетной записи почти бессильны ...
Так повторить последний скрипт с учетной записи админа?А логи тоже?
все лечение нужно віполнять с правами администратора ...
Авз запускается с ограниченной учетной записи
Добавлено через 2 минуты
Ок.так что делать щас с учетной записи админа? спасибо
Последний раз редактировалось orbison; 23.02.2008 в 00:34. Причина: Добавлено
давайте выполним скрипт из поста 23 и новые логи ...
Выполнил скрипт и вот новые логи
Вот только не понял как при отключенном антивирусе он отреагировал на HiJackthis как на содержащего malware..? Спасибо
Ну вот, что значит права админа. Профиксите
Это Вам знакомо Documents and Settings\Tania\Menu Start\Programy\Autostart\oespyldb.exeКод:O20 - AppInit_DLLs: murka.dat
Добавлено через 1 минуту
hijackthis.log - повторите.
Последний раз редактировалось wise-wistful; 23.02.2008 в 01:54. Причина: Добавлено
Спасибо !!Лед тронулся-вроде невижу этого ntosa заработала аська и остальные-Дай Бог вам здоровья! То \oespyldb.exe знакомо как MDos на старте.Но вроде murka.dat не вижу в Windows?
Добавлено через 3 часа 36 минут
А профиксить и HijACKTHIS лог вложить тоже надо с учетной записи админа?
Спасибо!
Добавлено через 34 минуты
МОЛОДЦЫ РЕБЯТА!!! ПОЛГОДА КАК ДОСТАЛ ЭТОТ NTOS. НЕ УЗНАЮ КОМПА -НЕ ВЫЛАЗИТЬ ALERT,РАБОТАЮТ ВСЕ КОММУНИКАТОРЫ..благодарю!!
Последний раз редактировалось orbison; 23.02.2008 в 13:47. Причина: Добавлено
При фикс.Hijackhis`ом появилось сообщение что отказ доступа to hosts file.Что HiJack не может фиксовать этот файл.И что надо самому edit : start run notepad C:\Windows\System32\drivers\etc\hosts
и find the lin(es) HiJackthis reports and delete them.Save the file as "hosts"(with quotes) and reboot.
И одновременно отключен антивирус выдает сообщение что hosts это какая то malware.
Вложил лог.
В этом логе кроме oespyldb.exe ничего подозрительного не видно.
Файл hosts можно очистить в AVZ таким скриптом:
Хотя по логам необходимости в этом не просматривается.Код:begin ClearHostsFile; end.
I am not young enough to know everything...
И логи повторять не надо?Можно включить восстановление системы?
А ничего нет зловредного когда зависает загрузка учетнай записи админа компа при невыключенной записи огр.пользователя?
THX
Добавлено через 4 минуты
Извиняюсь за simplicitas а чего так много просмотров по нашей теме?
Добавлено через 2 минуты
Так hosts и
oespyldb.exe это то же самое?
Последний раз редактировалось orbison; 23.02.2008 в 20:13. Причина: Добавлено
1 восстановление системы включать можно
2 hosts и oespyldb.exe не одно и тоже ....
3
не понял .... это при быстром переключении пользователей ?Код:зависает загрузка учетнай записи админа компа при невыключенной записи огр.пользователя
Уважаемый(ая) orbison, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.