-
Junior Member
- Вес репутации
- 53
Еще один eKAV.
Помогите, словил вирус.
Информер с номером 4460 сообщение K205114900.
Блокирует все программы, антивирусы и regedit.
Отменить восстановление системы не могу. Отсутствует соответствующая вкладка.
Запустил AVZ c LiveCD.
Сначала запустил скрипт с лечением, забыв про восстановление системы. Естественно вирус не пропал.
Еще раз просканировал без лечения. Лог в аттаче.
Еще вопрос можно ли редактировать реестр со второй партиции.
У меня два XP. Со второго виден диск С зараженной системы?
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
1. Отключите восстановление системы и антивирус.
2. Выполните скрипт в AVZ:
Код:
begin
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
QuarantineFile('C:\WINDOWS\inf\camvid30.inf:DF2FBC:$DATA','');
DeleteFile('C:\WINDOWS\inf\camvid30.inf:DF2FBC:$DATA');
DeleteFileMask('%tmp% ','*.* ',true );
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteWizard('TSW', 3, 3, true);
ExecuteWizard('SCU', 3, 3, true);
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится!
3. Выполните скрипт в AVZ:
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Загрузите файл quarantine.zip, используя ссылку http://virusinfo.info/upload_virus.php?tid=65877
4. Сделайте полный комплект логов.
Сердце решает кого любить... Судьба решает с кем быть...
-
-
Junior Member
- Вес репутации
- 53
Спасибо за быстрый ответ.
Только дело в том, что я не могу отключить восстановление системы.
Вкладки такой нет. А в регедит зайти не могу. Вкладку восстановить не могу. Вирус не пущает.
Могу ли править реестр зараженной системы со второй. У меня два ХР и с неё виден диск С системы с вирусом.
-
Сообщение от
Ilgr
Только дело в том, что я не могу отключить восстановление системы.
Тогда пропустите...
Сердце решает кого любить... Судьба решает с кем быть...
-
-
Junior Member
- Вес репутации
- 53
Понял.
И еще один момент. AVZ могу запустить либо с LiveCD, либо со второй системы.
Зараженная не дает запустить AVZ сразу перезагрузка.
-
Сердце решает кого любить... Судьба решает с кем быть...
-
-
Junior Member
- Вес репутации
- 53
Первый лог я сделал с LiveCD.
Ваши скрипты я запускал тоже с LiveCD, но использовал.....
"В случае невозможности загрузки Windows ни в обычном режиме, ни в Безопасном режиме (SafeMode) логи можно выполнить загрузившись с LiveCD WinPE поддерживающей работу с удаленным реестром (версия размером 64 МБ http://exfile.ru/file/74614 без антивируса или размером 106 МБ http://files.wyw.ru/4202289 включающая NOD32 и ERD Commander).
Для этого необходимо предварительно записать утилиты avz и hijackthis на флешку или другой раздел жесткого диска (другую установленную Windows). Затем загрузившись с этого LiveCD выбрать папки с содержащимися в них утилитами и затем кликнув правой кнопкой мышки по исполнительному файлу avz.exe или hijackthis.exe в появившемся контекстном меню выбрать "Запустить с удаленным реестром". Далее появится окно с выбором учетних записей больной системы. Надо выбрать Администратор и запустить утилиты.
Далее в меню программы avz выбрать: Файл-Исследование системы. В разделе Службы и драйверы вместо "Только активные службы и драйверы" выбрать "Все службы и драйверы", в разделе Параметры дополнительно установить птичку "Создать ZIP архив с протоколом" и затем запустить исследование."
Логи прилагаю.
Карантин тоже выслал.
-
Попробуйте переименовать avz.exe на любое имя с расширением pif и выполнить такой скрипт:
Код:
begin
ExecuteRepair(1);
RebootWindows(true);
end.
После сделать логи с зараженной системы.
Сердце решает кого любить... Судьба решает с кем быть...
-
-
Junior Member
- Вес репутации
- 53
Загрузился на зараженную систему.
Информер пропал. Запустил AVZ-pif.
Выполнил скрипт 3.
логи прилагаю.
Выполнил Ваш скрипт.
Перезагрузка.
Выполнил скрипт 2.
Логи прилагаю.
Теперь пробую восстановить вкладку "Восстановления системы"
-
Лог HijackThis тоже сделайте.
Сердце решает кого любить... Судьба решает с кем быть...
-
-
Junior Member
- Вес репутации
- 53
HijakThis лог.
Мдя. Теперь не могу войти в регедит и в диспетчер задач.
Администратор не позволяет.
Последний раз редактировалось Ilgr; 04.01.2010 в 20:28.
-
1. Отключите восстановление системы и антивирус.
2. Выполните скрипт в AVZ:
Код:
begin
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
QuarantineFile('C:\WINDOWS\Inf\camvid30.inf:DF2FBC','');
QuarantineFile('D:\InstantGet\IGCatcher.dll','');
QuarantineFile('C:\Documents and Settings\P\Local Settings\Application Data\FLVService\lib\FLVSrvLib.dll','');
DelBHO('{E9598854-2569-48DF-9755-1D330BD50EDE}');
DelBHO('{36ECAF82-3300-8F84-092E-AFF36D6C7040}');
DelBHO('{2EAF5BB2-070F-11D3-9307-00C04FAE2D4F}');
DelBHO('{2EAF5BB1-070F-11D3-9307-00C04FAE2D4F}');
DelBHO('{2670000A-7350-4f3c-8081-5663EE0C6C49}');
DelBHO('{FFFC57DB-1DE3-4303-B24D-CEE6DCDD3D86}');
DelBHO('{35A6E2B1-27A9-47D2-913C-559E1EF1D034}');
QuarantineFile('C:\WINDOWS\system32\drivers\ddnt.sys','');
DeleteFile('C:\Program Files\Common Files\Target Marketing Agency\TMAgent\tmagent.dll');
DeleteFile('C:\PROGRA~1\MYCENT~1\InfoBar\MYCENT~1.DLL');
DeleteFile('C:\WINDOWS\Inf\camvid30.inf:DF2FBC');
DeleteFileMask('%tmp% ','*.* ',true );
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteWizard('TSW', 3, 3, true);
ExecuteWizard('SCU', 3, 3, true);
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится!
3. Выполните скрипт в AVZ:
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Загрузите файл quarantine.zip, используя ссылку http://virusinfo.info/upload_virus.php?tid=65877
4. Сделайте новые логи (только п.2 и 3 раздела Диагностика).
5. Выполните http://virusinfo.info/showthread.php?t=3519
Сердце решает кого любить... Судьба решает с кем быть...
-
-
Junior Member
- Вес репутации
- 53
Спасибо.
В регедит и в диспетчер захожу.
Логи выслал.
Последний раз редактировалось pig; 04.01.2010 в 22:34.
Причина: карантин - не сюда
-
1. Уберите файл карантина и приложите лог virusinfo_syscheck.
2. Пункт 5 выполнили?
Сердце решает кого любить... Судьба решает с кем быть...
-
-
Junior Member
- Вес репутации
- 53
По 5 пункту файл выслал - virusinfo_files_PAPA2.zip.
Если нужно - повторю.
Кстати, вкладку "Восстановление системы" я вернул, но она не активна.
Последний раз редактировалось Ilgr; 04.01.2010 в 22:57.
-
Junior Member
- Вес репутации
- 53
Вкладку восстановил. Последствий вируса не замечаю.
Очаровательной Aleksandra ОГРОМНОЕ СПАСИБО!
-
1. Отключите восстановление системы и антивирус.
2. Выполните скрипт в AVZ:
Код:
begin
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\Inf\camvid30.inf:DF2FBC');
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs', StringReplace(RegKeyStrParamRead('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs'), 'C:\WINDOWS\Inf\camvid30.inf:DF2FBC', ''));
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs', StringReplace(RegKeyStrParamRead('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs'), ',,', ','));
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteRepair(13);
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится!
3. Повторите лог virusinfo_syscheck.
-
-
Junior Member
- Вес репутации
- 53
-
Сердце решает кого любить... Судьба решает с кем быть...
-
-
Junior Member
- Вес репутации
- 53
Спасиб.
Есть еще проблема. Не могу запустить DRweb.
В журнале событий:
Тип события: Предупреждение
Источник события: Software Restriction Policies
Категория события: Отсутствует
Код события: 866
Дата: 06.01.2010
Время: 18:30:24
Пользователь: Н/Д
Компьютер: PAPA
Описание:
Доступ к C:\Program Files\DrWeb\spidergate.exe был ограничен Администратором по расположению правилом политики {2d304c0f-eb89-4b7d-b73a-80094f7998a2}, расположенной в C:\Program Files\DrWeb