-
Junior Member
- Вес репутации
- 60
Не запускаются антивирусы, AVZ, HijackThis...
В общем поселилась на компе какая-то гадость, пытаюсь установить антивирус, но он не запускается, AVZ и HijackThis запускаются только после их переименования. В безопасном режиме DrWeb ничего не находит, Касперский удалил какого-то worma из автозагрузки, но проблемы остались...
Логи прилагаются...
Помогите, чем можете...
Последний раз редактировалось andreyka65; 03.10.2009 в 22:46.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\All Users\Application Data\90727806\90727806.exe','');
QuarantineFile('C:\Documents and Settings\All Users\Application Data\10717814\10717814.exe','');
QuarantineFile('C:\WINDOWS\System32\drivers\rmoa97c.sys','');
DeleteFile('C:\Documents and Settings\All Users\Application Data\10717814\10717814.exe');
DeleteFile('C:\Documents and Settings\All Users\Application Data\90727806\90727806.exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(9);
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=47867).
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 60
Все сделал...
После перезагрузки запустился антивирус (avira) и нашел пару вирусов...
-
Вот этот почему-то в карантин не попал:
C:\WINDOWS\System32\drivers\rmoa97c.sys
Хотя по логу он присутствует на диске 100%.
Не его ли нашел ваш антивирус?
Прочитайте и выполните это:
http://virusinfo.info/showthread.php?t=43700.
Сделайте новый лог по п.2 раздела Диагностика.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 60
По поводу вот этого - http://virusinfo.info/showthread.php?t=43700 не удалось найти вот это HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet \Services\wuauserv
Точней сама ветка есть, а внутри пусто - к тому же и самой службы "Автоматическое обновление" нет...
rmoa97c.sys - на диске присутствует, но при попытке скопировать его в карантин вылезает ошибка "Карантин с использованием прямого чтения - ошибка"....
Лог прикрепляю...
Последний раз редактировалось andreyka65; 03.10.2009 в 22:46.
-
В приложенном архиве reg-файл для восстановления службы автообновлений.
В AVZ установите драйвер расширенного мониторинга (AVZPM), перезагрузите компьютер и сделайте лог еще раз.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 60
Файл для реестра выполнил, служба появилась, но когда выбираешь её свойства, то сначала появляется сообщение с предупреждением "Диспетчер конфигураций: указанный дескриптор устройств не соответствует имеющемуся устройству." Хотя потом вроде появляется окно с настройками...
Лог прилагается...
Последний раз редактировалось andreyka65; 03.10.2009 в 22:46.
-
Попробуйте вручную заархивировать rmoa97c.sys и загрузите по ссылке для карантина.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 60
Отключил этот драйвер из автозагрузки, перегрузился.. и вроде получилось скопировать...
Добавлено через 46 минут
В общем загрузил этот файл на virustotal.com
http://www.virustotal.com/ru/analisi...93e-1244986455
6 из 38 показывают вирусняк...
На свой страх и риск выполнил следующее:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\System32\drivers\rmoa97 c.sys','');
DeleteFile('C:\WINDOWS\System32\drivers\rmoa97c.sy s');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(9);
RebootWindows(true);
end.
Вроде все работает - вот только не вижу чтобы обновления шли...
Можно ли проверить все исправлено или нет?
Последний раз редактировалось andreyka65; 14.06.2009 в 18:09.
Причина: Добавлено
-
Сообщение от
andreyka65
Можно ли проверить все исправлено или нет?
Логи сделайте повторные
rmoa97c.sys - Rootkit.Win32.Agent.lok
Детектирование файла будет добавлено в следующее обновление.
-
-
Junior Member
- Вес репутации
- 60
Последний раз редактировалось andreyka65; 03.10.2009 в 22:46.
-
Больше ничего плохого не видно.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 60
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 3
- Обработано файлов: 20
- В ходе лечения обнаружены вредоносные программы:
- c:\documents and settings\all users\application data\10717814\10717814.exe - Trojan.Win32.FraudPack.ouw
- c:\documents and settings\all users\application data\90727806\90727806.exe - Trojan-Downloader.Win32.FraudLoad.eqg
- \rmoa97c.sys - Rootkit.Win32.Agent.lok
-