-
Junior Member
- Вес репутации
- 62
Были трояны, поборолся, не удалось победить
Приветствую! В обычном режиме после загрузки картинки рабочего стола, комп сразу перегружался. В защитный режим не грузится. После загрузки с LiveCd AVZ удалось обнаружить с десяток троянов и их удалить. После этого компьютер стал загружаться до приветствия с учетными записями. При нажатии на учетную запись( единственный пользователь) происходит загрузка личных параметров и сразу же завершение сеанса. Собственно вопрос, что дальше можно сделать? Надо ли сделать логи AVZ через LiveCD?
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
c:\WINDOWS\system32\userinit.exe на месте ?
-
-
Junior Member
- Вес репутации
- 62
-
значит перепишите его туда с другой такой же системы ...
-
-
Junior Member
- Вес репутации
- 62
переписал. все заработало. сделал логи в АВЗ и джеке. Посмотрите пож-та на наличие хвостов
Последний раз редактировалось Sitpower; 28.07.2010 в 23:22.
-
выполните скрипт ...
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('datcom.dll','');
QuarantineFile('WinCtrl32.dll','');
QuarantineFile('C:\WINDOWS\system32\winds32.exe','');
QuarantineFile('C:\WINDOWS\system32\maxpaynow1.exe','');
QuarantineFile('C:\WINDOWS\mrofinu27.exe','');
QuarantineFile('C:\WINDOWS\msserv.exe','');
QuarantineFile('C:\WINDOWS\iexplorer.exe','');
QuarantineFile('C:\DOCUME~1\user\LOCALS~1\Temp\winw5nlPuT3LfW8.exe','');
DeleteService('Winns73');
QuarantineFile('C:\WINDOWS\system32\Drivers\Winns73.sys','');
DeleteService('syncm');
QuarantineFile('C:\WINDOWS\system32\syncm.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Mrw51.sys','');
DeleteService('Mrw51');
DeleteService('Lnsm64');
QuarantineFile('Lnsm64.sys','');
DeleteFile('Lnsm64.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Mrw51.sys');
DeleteFile('C:\WINDOWS\system32\syncm.sys');
DeleteFile('C:\WINDOWS\system32\Drivers\Winns73.sys');
DeleteFile('C:\DOCUME~1\user\LOCALS~1\Temp\winw5nlPuT3LfW8.exe');
DeleteFile('C:\WINDOWS\iexplorer.exe');
DeleteFile('C:\WINDOWS\mrofinu27.exe');
DeleteFile('C:\WINDOWS\msserv.exe');
DeleteFile('C:\WINDOWS\system32\maxpaynow1.exe');
DeleteFile('C:\WINDOWS\system32\winds32.exe');
DeleteFile('WinCtrl32.dll');
DeleteFile('datcom.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
пришлите карантин согласно приложения 3 правил....
повторите логи ...
-
-
Junior Member
- Вес репутации
- 62
Последний раз редактировалось Sitpower; 28.07.2010 в 23:22.
-
Профиксить:
Код:
O20 - Winlogon Notify: datcom - C:\WINDOWS\
O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\
Добавлено через 2 минуты
Дополнительно в AVZ Файл - Восст системы, п.11 отметить, нажать Выполнить.
Последний раз редактировалось PavelA; 24.07.2008 в 10:56.
Причина: Добавлено
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 62
осталось две явных проблемы, не грузится в защитном режиме и при попытке выключить через Пуск-Выключить компьютер зависает
-
Junior Member
- Вес репутации
- 62
Последний раз редактировалось Sitpower; 28.07.2010 в 23:22.
-
сохраните соденржимое в блокноте как 1.reg - запустите
Код:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management]
"ClearPageFileAtShutdown"=dword:00000000
выполните скрипт ...
Код:
begin
ExecuteRepair(10);
RebootWindows(true);
end.
-
-
Junior Member
- Вес репутации
- 62
Спасибо! Все работает. Удачи вам!
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 1
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\iexplorer.exe - Trojan.Win32.Buzus.jjn (DrWEB: Trojan.MulDrop.18267)
-