Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 31.

Мог вирус отрубить CD-Drive и сервис UPDATE WINDOWS в win2k? (заявка № 39961)

  1. #1
    Junior Member Репутация
    Регистрация
    19.06.2007
    Сообщений
    33
    Вес репутации
    39

    Thumbs up Мог вирус отрубить CD-Drive и сервис UPDATE WINDOWS в win2k?

    Помогите избавиться от заразы.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1785
    Выполнить скрипт:

    Код:
    procedure ParseString (S : TStringList; SS : String; SSS : String );
    var i,l : integer;
    begin
      i := Pos(SSS,SS); l := Length(ss);
      If l > 1 Then begin If i=0 Then S.Add(ss); If i>0 Then begin
      s.Add(Copy(ss,1,i-1)); ParseString(S,Copy(ss,i+1,l-i+1),SSS) end; end;
    end;
    var SL,SF : TStringList; SS, SSS : String; i : integer;
    begin
     SS := '';  SSS := ''; SL := TStringList.Create; SF := TStringList.Create;
     SS := RegKeyStrParamRead ('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems','Windows');
     ParseString (SL,SS,' ');
     for i := 0 to SL.Count - 1 do Begin
       SS := SL[i];
       If Pos('ServerDll=base',SS) > 0 Then Begin
         If SS <> 'ServerDll=basesrv,1' Then Begin
    	 AddToLog('Infected "SubSystem" value : ' + SS);
    	 if MessageDLG('Fix "SybSustem" parametrs  ?', mtConfirmation, mbYes+mbNo, 0) = 6 then  Begin
    	 SSS := SL[i]; SL[i] := 'ServerDll=basesrv,1'; AddToLog('User select "Fix" option.'); end;
         end;
      end;
     end;
     SS := ''; for i := 0 to SL.Count - 1 do Begin SS := SS + SL[i]; If SL.Count - 1 > i Then SS := SS + ' '; end;
     If SSS <> '' Then Begin
      i := Pos(',',SSS); If i = 0 Then i := Length(SSS);
      SSS := Copy(SSS, Pos('=',SSS) + 1, i - Pos('=',SSS)-1);
      AddToLog('Infection name : ' + SSS + '.dll');
      SetAVZGuardStatus(True);
      If FileExists('%WinDir%' + '\system32\' + SSS + '.dll') = true then DeleteFile('%WinDir%' + '\system32\' + SSS + '.dll');
      RegKeyParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems', 'Windows', 'REG_EXPAND_SZ', SS);
      SaveLog(GetAVZDirectory + 'SubSystems.log');
      RebootWindows(false);
     end;
    SL.Free; SF.Free;
    End.
    Затем этот скрипт:

    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\Documents and Settings\SY\Local Settings\Application Data\cftmon.exe','');
     QuarantineFile('C:\WINNT\system32\DRIVERS\sf256pcr.sys','');
     DeleteService('Schedule');
     DeleteService('Google Online Services');
     DeleteService('FCI');
     DeleteService('CcEvtSvc');
     QuarantineFile('C:\WINNT\system32\drivers\spools.exe','');
     QuarantineFile('C:\Documents and Settings\SY\ie_updates3r.exe','');
     QuarantineFile('C:\WINNT\system32\fci.exe','');
     QuarantineFile('C:\WINNT\System32\CcEvtSvc.exe','');
     DeleteFile('C:\WINNT\System32\CcEvtSvc.exe');
     DeleteFile('C:\WINNT\system32\fci.exe');
     DeleteFile('C:\Documents and Settings\SY\ie_updates3r.exe');
     DeleteFile('C:\WINNT\system32\drivers\spools.exe');
     DeleteFile('C:\Documents and Settings\SY\Local Settings\Application Data\cftmon.exe');
     DeleteFile('C:\basexnco32.dll');
     DeleteFile('C:\basexnco32.rar');
     DeleteFile('C:\ASlim1200SE\basexnco32.dll');
    BC_ImportALL;  
    ExecuteSysClean;
    BC_DeleteSvc('Schedule');
    BC_DeleteSvc('Google Online Services');
    BC_DeleteSvc('FCI');
    BC_DeleteSvc('CcEvtSvc');    
    BC_Activate;
    SetAVZPMStatus(true);    
    RebootWindows(true);
    end.
    Пришлите карантин по правилам и повторите логи...

  4. #3
    Junior Member Репутация
    Регистрация
    19.06.2007
    Сообщений
    33
    Вес репутации
    39
    Сделал все, как вы сказали. Дисковода пока нет.
    Вложения Вложения

  5. #4
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1785
    Установите AVZPM и сделайте логи...

  6. #5
    Junior Member Репутация
    Регистрация
    19.06.2007
    Сообщений
    33
    Вес репутации
    39
    Цитата Сообщение от Гриша Посмотреть сообщение
    Установите AVZPM и сделайте логи...
    Это тоже, что и AVPM? Подскажите, где логи хранятся?

    Если это не AVPM, то где взять AVPM?

  7. #6

  8. #7
    Junior Member Репутация
    Регистрация
    19.06.2007
    Сообщений
    33
    Вес репутации
    39
    Я по незнанию сделал проверку при помощи AVPtool. Сейчас мне предлагают стереть троян, так как его невозможно вылечить. Соглашаться или сделать отказ и запустить AVZPM?

  9. #8
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1785
    Удалите что предлагают и запишите название, после этого установите AVZPM и сделайте логи AVZ..

  10. #9
    Junior Member Репутация
    Регистрация
    19.06.2007
    Сообщений
    33
    Вес репутации
    39
    Сделано!
    Вложения Вложения

  11. #10
    Junior Member Репутация
    Регистрация
    19.06.2007
    Сообщений
    33
    Вес репутации
    39
    Кстати, попробовал поставить нод32 - неуспешно.

  12. #11
    Junior Member Репутация
    Регистрация
    19.06.2007
    Сообщений
    33
    Вес репутации
    39
    Помощь все еще нужна

  13. #12
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1785
    Я просил установить AVZPM...

  14. #13
    Junior Member Репутация
    Регистрация
    19.06.2007
    Сообщений
    33
    Вес репутации
    39
    странно. я сделал все как в инструкции написано. установил драйвера, перезагрузил, сделал логи. По всей видимости что-то не получилось. Может дело вот в этой фразе:

    Необходимо запустить AVZ(с правами администратора).
    Речь идет о правах админимтратора Виндовс или речь идет о запуске AVZ с каким то параметром? Если первое, то я так и сделал.

  15. #14
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1785
    У вас не Vista и UAC нет Установите еще раз и сделайте логи...

  16. #15
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,165
    Вес репутации
    971
    да чего вы мучаетесь, вот этот скрипт выполнить в avz, а не в аvptool-
    Код:
    begin
    SetAVZPMStatus(true);
    RebootWindows(true); 
    end.
    он и поставит avzpm, потом уже логи сделаете в том же avz

  17. #16
    Junior Member Репутация
    Регистрация
    19.06.2007
    Сообщений
    33
    Вес репутации
    39
    Как можно понять, что AVZPM установился? Я сделал снова установку, перегрузился, но AVZ по-прежнему в меню позволяет выбрать опцию "установить драйвер расширенного мониторинга процессов". Значит ли это, что AVZPM не установлен? Как можно заставить установиться этот режим, если он не хочет устанавливаться штатно?

  18. #17
    Junior Member Репутация
    Регистрация
    19.06.2007
    Сообщений
    33
    Вес репутации
    39
    сделал логи.
    Вложения Вложения

  19. #18
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1785
    Скачайте Gmer. Запустите программу. После автоматической экспресс-проверки, отметьте галочкой все жесткие диски и нажмите на кнопку "Scan". После окончания проверки сохраните его лог (нажмите на кнопку Save) под каким хотите именем, например Gmer.log и прикрепите лог сюда.

  20. #19
    Junior Member Репутация
    Регистрация
    19.06.2007
    Сообщений
    33
    Вес репутации
    39
    ссылка на гмер битая. ;(

  21. #20
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3000
    Цитата Сообщение от Сергей Ш-в Посмотреть сообщение
    ссылка на гмер битая. ;(
    Ссылка рабочая - только что проверил. Возьмите в аттаче
    Последний раз редактировалось Rene-gad; 18.07.2009 в 18:22.

  • Уважаемый(ая) Сергей Ш-в, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Как отрубить протокол Ethernet?
      От z_7 в разделе Общая сетевая безопасность
      Ответов: 6
      Последнее сообщение: 04.09.2009, 23:33
    2. Ответов: 2
      Последнее сообщение: 19.06.2009, 22:52
    3. Windows Update глючит
      От NMF в разделе Windows для опытных пользователей
      Ответов: 18
      Последнее сообщение: 29.09.2008, 07:42

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01047 seconds with 17 queries