-
Junior Member
- Вес репутации
- 59
Packed.Win32.Monder.gen
Помогите, пожалуйста!
Словила вышеназванное (я чайник, потому не знаю, что это, но KIS 7 называет его именно так). Вирус находит в папке system32, расширение файла dll. Удалить/переименовать/переслать вирусный файл не получается - ни в безопасном режиме, ни в обычном, ни вручную, ни как-то еще. Каспер каждый раз обещает "удалить после перезагрузки", но, естественно, ничего не происходит, с новой загрузкой он его находит, и так по кругу. Отключить восстановление системы я НЕ МОГУ - т.к. доступ к Панели Управления в любой форме блокирован, так же, как к Диспетчеру Задач и т.п. Т.е., для начала, я даже не знаю, имеет ли мне смысл провести диагностику, как у вас требуется, если не отключать восстановление системы (у меня Windows XP SP2)?
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Провидите диагностику. попробуем полечить, а восстановление системы отключим когда получится.
-
Junior Member
- Вес репутации
- 59
провела диагностику
Итак, вот моя диагностика:
Последний раз редактировалось cedecede; 06.05.2008 в 23:05.
-
Junior Member
- Вес репутации
- 59
Сообщение от
wise-wistful
Провидите диагностику. попробуем полечить, а восстановление системы отключим когда получится.
А не подскажете, если один антивирус его не может удалить, может, пока попробовать другим каким-то? Или лучше зря не делать лишних движений... просто Касперский мне постоянно норовит компьютер перезагружать без остановки.... но диагностику я сделала и выложила сюда, буду рада, если поможете вылечить!
-
Отключите Антивирус на время лечения!
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('wowfx.dll','');
QuarantineFile('kdapf.exe','');
QuarantineFile('C:\WINDOWS\system32\spoolvs.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\spools.exe','');
QuarantineFile('C:\Documents and Settings\LocalService.NT AUTHORITY.000\Local Settings\Application Data\cftmon.exe','');
QuarantineFile('C:\DOCUME~1\F81D~1\LOCALS~1\Temp\winlogon.exe','');
QuarantineFile('C:\WINDOWS\System32\drivers\protect.sys','');
QuarantineFile('C:\WINDOWS\system32\uyvnoacr.dll','');
QuarantineFile('C:\WINDOWS\system32\awTLBQgE.dll','');
DeleteFile('C:\WINDOWS\system32\uyvnoacr.dll');
DeleteFile('C:\WINDOWS\system32\awTLBQgE.dll');
DeleteService('protect');
DeleteFile('C:\WINDOWS\System32\drivers\protect.sys');
DeleteFile('C:\DOCUME~1\F81D~1\LOCALS~1\Temp\winlogon.exe');
DeleteFile('C:\Documents and Settings\LocalService.NT AUTHORITY.000\Local Settings\Application Data\cftmon.exe');
DeleteFile('C:\WINDOWS\system32\drivers\spools.exe');
DeleteFile('C:\WINDOWS\system32\spoolvs.exe');
DeleteFile('kdapf.exe');
DeleteFile('wowfx.dll');
DelBHO('{429F0310-5DAE-4AC1-8628-543E160B58D9}');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(6 );
ExecuteRepair(11 );
ExecuteRepair(17 );
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке:http://virusinfo.info/upload_virus.php?tid=21202
AVZ => Файл => Мастер поиска и устранения проблем. Категория проблемы - поставьте "Системные проблемы", степень опасности - "Все проблемы". Нажмите "Пуск". Всё найденное следует пометить и пофиксить. Данную операцию повторить для категории "Настройки и твики браузера".
Повторите логи.
-
-
Junior Member
- Вес репутации
- 59
Сообщение от
Гриша
А Вы не могли бы сказать, где именно взять "карантин"? Если в AVZ, то там в папке Quarantine файл dta? Его зазиповать и прислать? Я правда чайник, извините. И повторить логи - это все 4 лога как до лечения?
-
Прислать карантин согласно приложения 3 правил(http://virusinfo.info/showthread.php?t=1235),можно без лога GSI,только AVZ и HijackThis.
-
-
Попробуйте, может получится теперь отключить Восстаноление системы.
-
Junior Member
- Вес репутации
- 59
Сообщение от
Гриша
Так, большое спасибо, не знаю, получилось ли у меня на этот раз верно отправить карантин.... но я, кажется, отправила.
Ну и логи вот:
Последний раз редактировалось cedecede; 17.04.2008 в 17:15.
-
Junior Member
- Вес репутации
- 59
Сообщение от
wise-wistful
Попробуйте, может получится теперь отключить Восстаноление системы.
так если лечение состоялось, может, уже не надо его отключать? Или надо? Я уже вроде "пофиксила" вот это самое отключение восстановления системы...
-
Отключить восстановление системы надо обязательно!
Пофиксите в HijackThis:
Код:
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: (no name) - {FC35314A-859F-4C2D-807C-25967225D81A} - C:\WINDOWS\system32\awTLBQgE.dll (file missing)
O3 - Toolbar: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - (no file)
O20 - Winlogon Notify: awtsRlMD - C:\WINDOWS\
Выполните скрипт в AVZ:
Код:
begin
SetAVZGuardStatus(True);
DeleteFile('C:\System Volume Information\_restore{6046209C-6E52-4DA1-9364-BA8EB3DDB413}\RP114\A0039007.exe');
DeleteFile('C:\System Volume Information\_restore{6046209C-6E52-4DA1-9364-BA8EB3DDB413}\RP139\A0049342.msi');
DeleteFile('C:\WINDOWS\system32\w32sys15.exe');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteRepair(13);
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Сделайте еще раз логи.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 59
Сообщение от
Bratez
Отключить восстановление системы надо обязательно!
Пофиксите в HijackThis:
Выполните скрипт в AVZ:
Компьютер перезагрузится.
Сделайте еще раз логи.
Спасибо, сделала, что Вы сказали. Вот логи
Последний раз редактировалось cedecede; 17.04.2008 в 17:15.
-
В логах чисто,жалобы есть?
-
-
Junior Member
- Вес репутации
- 59
-
Нам интересно Ваше мнение о нашем ресурсе. Будем очень благодарны за отзыв, он может помочь нам улучшить ресурс.
Советуем прочитать электронную книгу "Безопасный Интернет. Универсальная защита для Windows ME - Vista".
-