Помогите, вирус постоянно после проверки удаляет AVZ.exe, cureit не запускается, защищенный режим тоже не работает.
Что делать?
Помогите, вирус постоянно после проверки удаляет AVZ.exe, cureit не запускается, защищенный режим тоже не работает.
Что делать?
Отключите восстановление системы, как написано в правилах.
Выполните скрипт в AVZ:
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\mm579372.dll',''); QuarantineFile('C:\WINDOWS\system32\Cult3D\IECult.dll',''); QuarantineFile('C:\WINDOWS\system32\DWFPortMon3.dll',''); QuarantineFile('C:\WINDOWS\system32\ieframe.dll',''); QuarantineFile('C:\WINDOWS\system32\agentcd.sys',''); QuarantineFile('MCIDRV_2600_6_0.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\MCIDRV_2600_6_0.sys',''); QuarantineFile('C:\WINDOWS\system32\AccuJetK.sys',''); DeleteFile('C:\WINDOWS\system32\mm579372.dll'); DelBHO('A5366673-E8CA-11D3-9CD9-0090271D075B'); BC_ImportALL; ExecuteSysClean; BC_Activate; ExecuteRepair(1); ExecuteRepair(10); RebootWindows(true); end.
Пришлите карантин согласно приложению №3 правил (загружать здесь: http://virusinfo.info/upload_virus.php?tid=26366 ).
Очистите временные папки и кеш браузера.
Сделайте новые логи.
Месть - мечта слабых, прощение - удел сильных.
Поддержать проект можно здесь
посмотрите новые логи.
-пофиксите в HijackThis...возможно, после придется переподключиться к сетиКод:O1 - Hosts: 61.129.115.198 www.xldd.com O1 - Hosts: 61.129.115.198 www.ojiang.com O1 - Hosts: 61.129.115.198 www.shuixian.net O1 - Hosts: 61.129.115.198 www.xlarea.com O17 - HKLM\System\CCS\Services\Tcpip\..\{A280A5FF-9AE2-45DF-9A09-269727A7033D}: NameServer = 85.255.115.30,85.255.112.184 O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.115.30 85.255.112.184 O17 - HKLM\System\CS3\Services\Tcpip\Parameters: NameServer = 85.255.115.30 85.255.112.184 O17 - HKLM\System\CS4\Services\Tcpip\Parameters: NameServer = 85.255.115.30 85.255.112.184 O17 - HKLM\System\CS5\Services\Tcpip\Parameters: NameServer = 85.255.115.30 85.255.112.184 O17 - HKLM\System\CS6\Services\Tcpip\Parameters: NameServer = 85.255.115.30 85.255.112.184 O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.115.30 85.255.112.184
Добавлено через 12 минут
-после выполнения скрипта, предложенного kps, должен восстановиться SafeMode(защищённый режим) ...попробуйте проверить систему свежим CureIt'ом
Последний раз редактировалось Alex Plutoff; 13.07.2008 в 01:23. Причина: Добавлено
С уважением,
Alex Plutoff
А. ПЛАТОВ
Защищеннй режим после скрипта не работает, ранее на компе стоял Daemon tool, sptd.sys, по моему, не давал запустить защищенный режим, после чистки режим так и не работал.
Сейчас, после Hijack, explorer.exe не запускается, рабочего стола
не видно, подремонтировать систему avz-том не удается, система
постоянно ругается, не находит iertutil.dll
Итого:
Защищенный режим не работает
Cureit не работает
AVZ-последняя надежда - тоже....
Что делать?
Добавлено через 29 минут
ps. Explorer заработал пришлось снести IE7
Последний раз редактировалось pomy; 13.07.2008 в 11:38. Причина: Добавлено
-как вариант, попробуйте изменённую AVZ, которую я выложил на http://virusinfo.ifolder.ru/7326547 (для более вероятного успеха, переименуйте скачанный файл, изменив расширение .exe на .com)
-не поможет, тогда скачайте утилиту www.malwarebytes.org, запустите, обновите базы и сканируйте систему, полученый лог прикрепите в следующем сообщении...
Последний раз редактировалось Alex Plutoff; 13.07.2008 в 16:11.
С уважением,
Alex Plutoff
А. ПЛАТОВ
Ниже лог как просили.. опять при работе IE6 лезетсообщение об отсутствующем iertutil.dll. при проверке AVZ опять вирусы, пишет
что удалены, а после перезагрузки опять живые.
Как все таки починить защищенный режим?
malwarebytes удалите. Это несерьезная программа.
Выполните пункт 1 или 2 отсюда: http://virusinfo.info/showthread.php?t=15927
Месть - мечта слабых, прощение - удел сильных.
Поддержать проект можно здесь
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 22
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\system32\\mm579372.dll - Trojan.Win32.KillAV.nh (DrWEB: Win32.Sector.4)
Уважаемый(ая) pomy, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.