Не налетайте по поводу правил. Правила я читал, постю не первый раз.
1. Не запускается безопасный режим
2. не запускается AVZ
3. не запускается HiJack
посоветуйте как добыть для вас логи
спасибо
Не налетайте по поводу правил. Правила я читал, постю не первый раз.
1. Не запускается безопасный режим
2. не запускается AVZ
3. не запускается HiJack
посоветуйте как добыть для вас логи
спасибо
AVZ переименовывали? полиморфную версию пробовали? запускается ли AVPTool или CureIt? удается ли запустить GMER?
[I]Nick Golovko
NCFU lecturer, information security specialist[/I]
NickGolovko,
переименовал - не помогло
где взять полиморфную версию?
запустил HiJack после полной проверки нодом:
Последний раз редактировалось Vitus.virusinfo; 27.10.2010 в 11:03.
ни то не другое не запускается
а что это?
Добавлено через 11 минут
скачал полиморфный по ссылке данной в этой теме:
http://virusinfo.info/showthread.php...F0%F4%ED%FB%E9
не запускается!
Добавлено через 29 минут
помогите пожалуйста!!!
Последний раз редактировалось Vitus.virusinfo; 10.09.2009 в 10:48. Причина: Добавлено
Удалось запустить GMER:
Последний раз редактировалось Vitus.virusinfo; 27.10.2010 в 11:03.
HELP PLZ!!!
Добавлено через 57 минут
ну блин, неужели никто не знает что делать?
Хелперы???
Добавлено через 31 минуту
up
Последний раз редактировалось Vitus.virusinfo; 10.09.2009 в 13:15. Причина: Добавлено
Все онемели от восхищения Даже по логу HJT видно, какая у вас интересная инфекция.
Сейчас будем смотреть.
[I]Nick Golovko
NCFU lecturer, information security specialist[/I]
=)
это излечимо?
Начнем с GMER. Сохраните приведенный ниже код под именем cleanup.bat в той же папке, где находится GMER, после чего запустите этот файл. Система перезагрузится.
Затем пофиксите в HijackThis:Код:y0jk4n38.exe -del file "C:\WINDOWS\System32\drivers\svchost.exe" y0jk4n38.exe -del file "C:\WINDOWS\system32\twext.exe" y0jk4n38.exe -del file "C:\WINDOWS\system32\servises.exe" y0jk4n38.exe -reboot
Еще раз перезагружайтесь и пробуйте запустить полиморфную AVZ со случайно выбранным именем.Код:F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\DOCUME~1\123\LOCALS~1\Temp\init.exe,C:\WINDOWS\system32\twext.exe, O1 - Hosts: 210.51.166.253 vkontakte.ru O1 - Hosts: 210.51.166.253 www.vkontakte.ru O1 - Hosts: 210.51.166.253 odnoklassniki.ru O1 - Hosts: 210.51.166.253 www.odnoklassniki.ru O1 - Hosts: 210.51.166.253 odnoklasniki.ru O1 - Hosts: 210.51.166.253 www.odnoklasniki.ru O2 - BHO: ConnectionServices module - {6D7B211A-88EA-490c-BAB9-3600D8D7C503} - (no file) O4 - HKLM\..\Run: [KILOKFBN] %systemroot%\KILOKFBN.exe O4 - HKLM\..\Run: [AHRFQNIG] %systemroot%\AHRFQNIG.exe O4 - HKLM\..\Run: [Generic Host for Win32 Services] $‘|ЂА—|ъ‘||= O4 - HKLM\..\Run: [svhost] C:\WINDOWS\System32\drivers\svchost.exe O4 - HKCU\..\Run: [servises] C:\WINDOWS\system32\servises.exe O4 - HKCU\..\Policies\Explorer\Run: [servises] C:\WINDOWS\system32\servises.exe
[I]Nick Golovko
NCFU lecturer, information security specialist[/I]
Сделал.
GMER на третьем фаиле выдал ошибку, сказал что его не существует
полиморфный не запускается, обычный тоже не запускается
логи прилагаю.
Последний раз редактировалось Vitus.virusinfo; 27.10.2010 в 11:03.
[В работе]
А по логам вроде зачистилось.
Полиморф хорошо переименовали? хорошее имя - что-то вроде ckwejf.pif.
Попробуйте запустить полиморф из командной строки с ключом AM=Y.
[I]Nick Golovko
NCFU lecturer, information security specialist[/I]
pif прекрасно запускается.
Так что меняйте расширение спокойно, и не забудьте про ключ командной строки, о котором я написал выше.
[I]Nick Golovko
NCFU lecturer, information security specialist[/I]
не запускается никак
неужели это конец???
ура, после сто тыщь перезагрузок, и входа под Администратором - запустилась!!!
в безопасном режиме не грузится - БСОД,
мне бы безопасный режим загрузить, а там кьюритом убить всех. Я думаю он сможет
Ну и чего вы загрузили? Это карантин, а нужны логи.
[I]Nick Golovko
NCFU lecturer, information security specialist[/I]
после проверки не сильно что изменилось,
под пользователем avz так и не запускается и всё остальное тоже (CureIt, AVTool, avz)
Уважаемый(ая) Vitus.virusinfo, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.