-
Junior Member
- Вес репутации
- 61
Не выполняется скрипт AVZ по сбору инфы
Опять прилипла какая-то зараза. После "лечения и сбора инфы", по правилам AVZ, перезагрузил, после чего безуспешно пытался 3 раза выполнить "скрипт "сбора инфы". Перезагружается сам на начальной стадии выполнения.
2 раза переименовывал avz.exe в цифры, буквы... Резалт тот же.
Остальное высылаю.
Что сделать, чтоб выполнить второй скрипт?
Последний раз редактировалось Gena77; 09.05.2008 в 00:40.
[I]Кто хочет - ищет возможности, кто не хочет - причины![/I]
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
выполните скрипт ....
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\drivers\Vcsy55.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\Uopl52.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\Tok37.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\symavc32.sys','');
QuarantineFile('C:\1E.tmp','');
QuarantineFile('CcEvtSvc.sys','');
BC_DeleteSvc('Schedule');
QuarantineFile('c:\windows\system32\drivers\spools.exe','');
QuarantineFile('c:\documents and settings\localservice.nt authority\local settings\application data\cftmon.exe','');
DeleteFile('c:\documents and settings\localservice.nt authority\local settings\application data\cftmon.exe');
DeleteFile('c:\windows\system32\drivers\spools.exe');
DeleteFile('C:\1E.tmp');
DeleteFile('C:\WINDOWS\system32\drivers\symavc32.sys');
DeleteFile('C:\WINDOWS\system32\drivers\Tok37.sys');
DeleteFile('C:\WINDOWS\system32\drivers\Uopl52.sys');
DeleteFile('C:\WINDOWS\system32\drivers\Vcsy55.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
пришлите карантин согласно приложения 3 правил ....
повторите логи....
-
-
Junior Member
- Вес репутации
- 61
Скрипт выполнен без ошибок.
Но не помогло, "лечение и сбор" прошли нормально, а попытка "сбор инфы" опять привела к перезагрузке.
Карантин отправил.
Последний раз редактировалось Gena77; 09.05.2008 в 00:40.
[I]Кто хочет - ищет возможности, кто не хочет - причины![/I]
-
Зря пункт 2 Правил не выполнили.
Все присланные файлы детектируются DrWeb.
-
-
Junior Member
- Вес репутации
- 61
Так у меня AVAST стоит. И тоже их определил и даже удалил... Но после перезагрузки всё по новой всплывает.
В принципе я их могу RegCleanerом почикать, но не уверен, что так будет правильно... Не сильный я пользователь к сожалению
[I]Кто хочет - ищет возможности, кто не хочет - причины![/I]
-
Вы CureIt-ом проверяли или нет?
Про AVAST я не спрашивал.
-
-
Junior Member
- Вес репутации
- 61
Только что, по вашей подсказке попытался выполнить. При обнаружении первого же зараженного файла, по исполнении запроса от проги "что делать" ответил "лечить" - хлоп, моментальная перезагрузка компьютера!
Прогу запускал с CD, как и просили...
Что еще попробовать?
[I]Кто хочет - ищет возможности, кто не хочет - причины![/I]
-
Проверку проводили в безопасном режиме загрузки Windows, как в Правилах написано?
-
-
Junior Member
- Вес репутации
- 61
Да, ссори, этот момент не учел виноват, исправился.
Всё провел в строгом соответствии с правилами. Правда это заняло около 3 часов...
Теперь всё чисто!
Спасибо большое за подсказки!
На всякий случай гружу все логи, а то , мало ли что...
Последний раз редактировалось Gena77; 09.05.2008 в 00:40.
[I]Кто хочет - ищет возможности, кто не хочет - причины![/I]
-
Все в порядке, только вот это пофиксите в HijackThis:
Код:
O4 - HKCU\..\Run: [autoload] C:\Documents and Settings\Геннадий\Local Settings\Application Data\cftmon.exe
O4 - HKCU\..\Run: [ntuser] C:\WINDOWS\system32\drivers\spools.exe
и вот это отключите (надеюсь, не используете?):
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Remote Registry)
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 61
Всё выполнил.
А что это вообще такое - Ctfmon.exe?
RegCleaner всё равно видит ее в system32
А-а, ссори, то что пофиксили cftmon... t & f местами поменяны... неуглядел.
[I]Кто хочет - ищет возможности, кто не хочет - причины![/I]
-
без паники ... этот правильный ...
Ctfmon.exe активирует процессор текстового ввода (TIP) компонента «Альтернативный ввод данных» и языковую панель Microsoft Office....
-