Подхватил сабж... Почистился "Kaspersky Rescue disk"... это дало возможность запустить AVZ (до этого при входе в папку комп выключался).
Сейчас заблокирован диспетчер задач и комп не выключается и не перезагружается...
Хелп...
Подхватил сабж... Почистился "Kaspersky Rescue disk"... это дало возможность запустить AVZ (до этого при входе в папку комп выключался).
Сейчас заблокирован диспетчер задач и комп не выключается и не перезагружается...
Хелп...
Пофиксите в HijackThis:
Выполните скрипт в AVZ:Код:F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\Program Files\Internet Explorer\svcnost.exe,C:\WINDOWS\system32\sdra64.exe, O20 - AppInit_DLLs: C:\WINDOWS\system32\mwpybn.dll
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\Installer\{F9FD80CE-0448-4D4F-8BCD-77FC514C3F99}\VobSub_F9FD80CE04484D4F8BCD77FC514C3F99.exe',''); QuarantineFile('C:\WINDOWS\Installer\{F9FD80CE-0448-4D4F-8BCD-77FC514C3F99}\GSpot.exe_F9FD80CE04484D4F8BCD77FC514C3F99.exe',''); QuarantineFile('C:\WINDOWS\Installer\{F9FD80CE-0448-4D4F-8BCD-77FC514C3F99}\ffdshowraw_F9FD80CE04484D4F8BCD77FC514C3F99.exe',''); QuarantineFile('C:\WINDOWS\Installer\{F9FD80CE-0448-4D4F-8BCD-77FC514C3F99}\ffdshowencoder_F9FD80CE04484D4F8BCD77FC514C3F99.exe',''); QuarantineFile('C:\WINDOWS\Installer\{F9FD80CE-0448-4D4F-8BCD-77FC514C3F99}\ffdshowdecoder_F9FD80CE04484D4F8BCD77FC514C3F99.exe',''); QuarantineFile('C:\WINDOWS\Installer\{F9FD80CE-0448-4D4F-8BCD-77FC514C3F99}\ffdshowaudio_F9FD80CE04484D4F8BCD77FC514C3F99.exe',''); QuarantineFile('C:\WINDOWS\Installer\2c762d.msi',''); QuarantineFile('C:\WINDOWS\system32\mwpybn.dll',''); QuarantineFile('C:\WINDOWS\system32\sdra64.exe',''); QuarantineFile('C:\Program Files\Internet Explorer\svcnost.exe',''); QuarantineFile('C:\WINDOWS\System32\Drivers\aje6p7g5.SYS',''); QuarantineFile('C:\WINDOWS\system32\DrvTrNTl.dll',''); QuarantineFile('C:\Program Files\DVD X Studios\DVD X Utilities\DVDGhost\ExecuteHooker.dll',''); QuarantineFile('c:\windows\regedit.exe',''); DeleteFile('C:\WINDOWS\system32\mwpybn.dll'); DeleteFile('C:\Program Files\Internet Explorer\svcnost.exe'); DeleteFile('C:\WINDOWS\system32\sdra64.exe'); BC_ImportAll; ExecuteWizard('TSW', 2, 2, true); ExecuteSysClean; BC_Activate; RebootWindows(true); end.
После перезагрузки загрузите карантин согласно правилам по красной ссылке вверху темы.
Повторите пункт "Диагностика" правил и получившиеся логи приложите в теме.
Даже в самом пустом из самых пустых есть двойное дно © Пикник
Вы можете отблагодарить нас так
Ок. Выполнил...
новые логи загрузил... а virusinfo_cure.zip от вчера...
Только все равно не хочет перезагружаться и выключаться, хотя диспетчер разблокировался...
ФЦТД привет.
Запустите AVZ, в нем - меню Сервис - Модули пространства ядра.
В появившемся окне найдите среди отображаемых черным шрифтом модулей что-то похожее на это:
C:\WINDOWS\System32\Drivers\aiauczua.SYS
C:\WINDOWS\System32\Drivers\acxvs336.SYS
содержащее имя из бессмысленного набора букв (возможно с цыфрами),
при каждой перезагрузке оно меняется.
Выделите его мышью и нажмите кнопку "Снять дамп памяти текущего модуля".
В папке AVZ появится папка DMP. Ее заархивируйте в формате zip с паролем virus, архив загрузите по ссылке "Прислать запрошенный карантин" вверху темы.
Рекомендую установить SP3 и обновления, вышедшие после него,
обновить Internet Explorer и Adobe Reader до актуальных версий.
Даже в самом пустом из самых пустых есть двойное дно © Пикник
Вы можете отблагодарить нас так
нашел два подозрительных модуля...
Блин, похоже гангрена прогрессирует...
Даже тормозной Нортон и то ругнулся на вирус...
Кидаю новые логи...
Присланные дампы легитимны.
Выполните скрипт в AVZ:
Компьютер перезагрузится.Код:begin SetAVZPMStatus(True); SetAVZGuardStatus(True); RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2); RebootWindows(true); end.
Если после перезагрузки всплывет мастер нового оборудования, закройте его и удалите неизвестное устройство в диспетчере устройств.
Повторите еще раз лог virusinfo_syscheck.zip и приложите в теме.
Сделайте лог gmer и тоже приложите:
http://virusinfo.info/showthread.php?t=40118
На что именно ругается Нортон? (имя вируса посмотрите в его логах).
Почему не хотите установить рекомендованные выше обновления?
Даже в самом пустом из самых пустых есть двойное дно © Пикник
Вы можете отблагодарить нас так
Ничего не всплыло...
Нортон ругнулся на : C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\YQ13ONR0\61[1].exe
Click for more information about this virus : W32.IRCBot
Обновления: ось Зверь (т.е. с SP3), а ставить его снова - потребует регистрацию. А насчет Акробата, то у меня не Ридер, а Профешнл (еще с СС-кого //software утянут) -соответственно крякнутый...
По логам ничего подозрительного нет.
Если автор этой сборки ОС обещал вам SP3, то он вас обманул:
А Нортон ругнулся на вирус, пытавшийся установиться при посещении зараженного сайта посредством уязвимой версии браузера.Код:Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.20696)
Последний раз редактировалось Nikkollo; 18.12.2009 в 09:39.
Даже в самом пустом из самых пустых есть двойное дно © Пикник
Вы можете отблагодарить нас так
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 11
- В ходе лечения вредоносные программы в карантинах не обнаружены
Уважаемый(ая) MittalSteel, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.