и он там вроде даже не 1... трафик улетает неизвесно куда... смог выполнить только 2ой и 3ий пункты т.к. когда выполнял первый программа зависала выдавала кучу ошибок и комп перезагружался. может можно как нить без 1ой части?...
и он там вроде даже не 1... трафик улетает неизвесно куда... смог выполнить только 2ой и 3ий пункты т.к. когда выполнял первый программа зависала выдавала кучу ошибок и комп перезагружался. может можно как нить без 1ой части?...
Последний раз редактировалось sтранник; 27.02.2008 в 01:24.
Выполните в АВЗ
Загрузите карантин согласно приложению 3 правил ...Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); TerminateProcessByName('c:\documents and settings\странник\local settings\application data\cftmon.exe'); QuarantineFile('C:\Documents and Settings\LocalService\Local Settings\Application Data\cftmon.exe',''); QuarantineFile('C:\WINDOWS\system32\ftpdll.dll',''); QuarantineFile('C:\WINDOWS\system32\sysfldr.dll',''); QuarantineFile('C:\WINDOWS\system32\drivers\spools.exe',''); SetServiceStart('Schedule', 4); StopService('Schedule'); QuarantineFile('c:\documents and settings\странник\local settings\application data\cftmon.exe',''); DeleteFile('c:\documents and settings\странник\local settings\application data\cftmon.exe'); DeleteFile('C:\WINDOWS\system32\drivers\spools.exe'); DeleteFile('C:\WINDOWS\system32\sysfldr.dll'); DeleteFile('C:\WINDOWS\system32\ftpdll.dll'); DeleteFile('C:\Documents and Settings\LocalService\Local Settings\Application Data\cftmon.exe'); DeleteService('Schedule'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Повторите логи ...
Вот что мне сказало. И ничего не сохранилось.. ):
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\system32\RebootWindows(true)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (end.)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\end.)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\system32\end.)
Карантин с использованием прямого чтения - ошибка
Что-то вы не то сделали... Поделитесь опытом, я тоже так хочу.
ну да я как абычна лох... пакалупался вроде понял как это делать.. только вот еще 1 проблема... скрипт выполняется и сразу черный экран и мы зависаем...
Если перед зависанием выскакивало сообщение, что выполнен без ошибок, то все нормально. Ждем немного, если сам не перезагрузится - жмем ресет, далее действуем по плану.
Если такого сообщения не было, попробуйте выполнить скрипт в безопасном режиме.
I am not young enough to know everything...
фу... вроде сделал..
Последний раз редактировалось Shu_b; 01.03.2008 в 20:33.
Карантин сюда - http://virusinfo.info/upload_virus.php?tid=18718
Этот все равно пустой...
Повторите логи ...
блин.. а других методоd совсем никаких нет?... АВЗ уже отказываецца работать.. на середине выполнения скрипта выскакивает штук 100 табличек с надписью "Access violation at address 0040254C in module 'avz.exe'.Write of address 4643535D"
А если в safe mode? или переименовать avz.exe в game.pif
помогло переименовать avz.exe в game.pif новые логи + выполнил скрипт про который писали.
карантин загрузил по ссылке http://virusinfo.info/upload_virus.php?tid=18718
Выполните:
Лог HiJackThis повторитеКод:begin SearchRootkit(true, true); SetAVZGuardStatus(true); RegKeyDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sysfldr'); DeleteFile('sysfldr.dll'); BC_ImportDeletedList; BC_Activate; ExecuteSysClean; RebootWindows(true); end.
вот что получилось..
1. Рекомендуется отключить все что вам не нужно из этого списка:
2. Ничего подозрительного в логах не видно, однако:Код:>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр) >> Службы: разрешена потенциально опасная служба TermService (Службы терминалов) >> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP) >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing) >> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола) >> Безопасность: разрешен автозапуск программ с CDROM >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...) >> Безопасность: к ПК разрешен доступ анонимного пользователя >> Безопасность: Разрешена отправка приглашений удаленному помошнику
Если не затруднит, обновите базы AVZ и сделайте логи заново для пущей уверенности.Внимание !!! База поcледний раз обновлялась 12.12.2007 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)
I am not young enough to know everything...
обновил базы. пока обновлял улетело 70мб трафика... при выполнение скриптов опять вылетает та же ошибка... хотя avz.exe уже переименован в game.pif...
Сделайте в безопасном режиме как написано здесь:
http://virusinfo.info/showthread.php?t=10387
I am not young enough to know everything...
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 10
- В ходе лечения вредоносные программы в карантинах не обнаружены
Уважаемый(ая) sтранник, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.