Вирусы 15
Привет всем !!!!! Давненько я у вас не бывалРебята проблема в следующем - Есть ноут друга ,наловил всякой дряни , основная дрань была WIN32.HLLP.SECTOR какие то файлы исцелились , какие то удалились. Но судя по логам еще сидит зараза. Пока сам не решаюсь её удалять так как читаю книгу для студентов. Посмотрите логи плиз.
Последний раз редактировалось BMW; 21.11.2008 в 21:08.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Угу, мы уже соскучиться успелиСообщение от BMW
Давненько я у вас не бывал
Посмотрите, что там в Планировщике задач сидит. Службу это я бы вообще отключил. и Джаву после лечения обновить можно.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное востановление.
-Пофиксите
- Выполните скриптКод:O20 - Winlogon Notify: Antiwpa - C:\WINDOWS\SYSTEM32\antiwpa.dll O20 - Winlogon Notify: reset5 - C:\WINDOWS\SYSTEM32\reset5.dll
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\RVHOST.exe',''); QuarantineFile('C:\WINDOWS\system32\antiwpa.dll',''); QuarantineFile('C:\WINDOWS\system32\vcmgcd32.dll',''); DeleteFile('C:\WINDOWS\system32\vcmgcd32.dll'); BC_DeleteFile('C:\WINDOWS\system32\vcmgcd32.dll'); DeleteFile('C:\WINDOWS\system32\antiwpa.dll'); DeleteFile('C:\WINDOWS\system32\RVHOST.exe'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху страницы.
- Прикрепите логи к новому сообщению.
Выполнил все как было сказано !! Но есть одно НО. После выполнеиня скрипта винда отказывается загружаться в безопасном режиме, а в нормальном загрузиться не могу , так как требует активации ( и это опять после выполнения скрипта). Что делать ? Пишу с другой машины
хмм, я удалил C:\WINDOWS\SYSTEM32\reset5.dll, видя у Вас установленный СП3.Надо с народом посоветоваться.
Ребята помогите как смогите- Тачка нужна утром, активацию произвести не могу !!!!!!!!!!!! что деалть ?хмм, я удалил C:\WINDOWS\SYSTEM32\reset5.dll, видя у Вас установленный СП3.
Из карантина AVZ можете попробовать восстановить
C:\WINDOWS\SYSTEM32\antiwpa.dll
А из бэкапа HijackThis попробуйте восстановить записи
O20 - Winlogon Notify: Antiwpa - C:\WINDOWS\SYSTEM32\antiwpa.dll
O20 - Winlogon Notify: reset5 - C:\WINDOWS\SYSTEM32\reset5.dll
Месть - мечта слабых, прощение - удел сильных.
Поддержать проект можно здесь
я дико извеняюсь , а как я могу сделать то что вы мне прописали ? я не в один режим зайти н емогу .
Загрузитесь с загрузочного диска (например BartPE).
Карантин AVZ находится в папке Quarantine, которая находится в папке AVZ. Там в файлах ini поищите, какой из файлов *.dta является antiwpa.dll, когда найдете - переименуйте соответсвующий файл карантина dta в antiwpa.dll и положите его в C:\WINDOWS\SYSTEM32
Потом в реестр надо будет прописать в Winlogon Notify
Для этого
1. Запустите regedit и выделите раздел HKEY_USERS.
2. Выберите в меню программы File - Load Hive (Файл - Загрузить куст) и перейдите к папке, где находится реестр вашей Windows (обычно C:\Windows\System32\Config).
3. Выделите файл SOFTWARE без расширения и нажмите Open (Открыть).
4. Введите имя для раздела, который вы загрузили, например, MyHive.
Теперь, если к примеру вам нужен параметр
HKLM\SoftWare\Microsoft\Windows NT\Winlogon\Userinit -
это будет:
HKEY_USERS\MyHive\Microsoft\Windows NT\Winlogon\Userinit
Вам нужен ключ реестра
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify
там создать ключ
"Antiwpa" (имя без кавычек) - там создать
параметр "Dllname", значение "antiwpa.dll",
параметр "Impersonate"=dword:00000000
параметр "Asynchronous"=dword:00000001
потом создать ключ
"reset5" -
параметр "Dllname", значение reset5.dll
параметр "Impersonate"=dword:00000000
параметр "Asynchronous"=dword:00000001
Важный момент: закончив редактирование, раздел обязательно нужно выгрузить. Для этого выделите ветку MyHive и выберите в меню программы File - Unload Hive (Файл - Выгрузить куст).
Если система после этого загрузится, то зайдите в HiJackThis и восстановите указанные записи из Бекапа (я ведь не знаю, какие там параметры были с какими значениями).
Последний раз редактировалось kps; 08.08.2008 в 00:49.
Месть - мечта слабых, прощение - удел сильных.
Поддержать проект можно здесь
Вот момент начиная с созданием ключей я так и не понял по поводу
параметр "Dllname"
параметр "Impersonate"
параметр "Asynchronous"
куда жать и где их создавать ?
В ключе HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Antiwpa создать указанные параметры. Там можете посмотреть что-то типа меню "Правка" - "Создать"
параметр "Dllname" - строковый параматр
параметр "Impersonate" - параметр DWORD
параметр "Asynchronous" - параметр DWORD
значения я указал.
и т.д.
Месть - мечта слабых, прощение - удел сильных.
Поддержать проект можно здесь
Ребята закрывайте тему !!!! Оказывается все можно грохнуть с согласия хозяина. Извиняюсь за беспокойство. Проще новую систему поставить + SP3
Уважаемый(ая) BMW, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
