Кроме того, не удается запустить ZoneAlarm - система выдает голубой экран с ошибкой 0x000007F.
Заранее спасибо!
Подцепил заразу, занимающуюся обильной рассылкой
Кроме того, не удается запустить ZoneAlarm - система выдает голубой экран с ошибкой 0x000007F.
Заранее спасибо!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
У вас опасный бот с руткитом.
AVZ - Файл - Выполнить скрипт:
После перезагрузки повторите логи и пришлите карантин AVZ в соответствии с Приложением 2, начиная с пункта 5.Код:begin SearchRootkit(True, True); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\lzx32.sys',''); QuarantineFile('C:\WINDOWS\system32:lzx32.sys',''); DeleteFile('C:\WINDOWS\system32\lzx32.sys'); DeleteFile('C:\WINDOWS\system32:lzx32.sys'); ExecuteSysClean; RegKeyDel('HKEY_LOCAL_MACHINE', 'HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PE386'); RegKeyDel('HKEY_LOCAL_MACHINE', 'HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\PE386'); RebootWindows(True); end.
Предварительно можете пофиксить старый мусор:
Записи в HOSTS сами добавляли?Код:O18 - Protocol: AutorunsDisabled - (no CLSID) - (no file) O20 - Winlogon Notify: AutorunsDisabled - C:\WINDOWS\ O20 - Winlogon Notify: rpcc - C:\WINDOWS\
В HOSTS да - сам строчки добавлял.
Чот не хочет он у меня удалять - каждый раз его по новой обнаруживает =(
Почему такое может быть?
А удаление точно скриптом производилось ? Вот немного доработанный скрипт, который по идее должен прибить зловреда:Сообщение от Marix
Код:begin SearchRootkit(True, True); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\lzx32.sys',''); QuarantineFile('C:\WINDOWS\system32:lzx32.sys',''); DeleteFile('C:\WINDOWS\system32\lzx32.sys'); DeleteFile('C:\WINDOWS\system32:lzx32.sys'); ExecuteSysClean; RegKeyDel('HKEY_LOCAL_MACHINE', 'HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PE386'); RegKeyDel('HKEY_LOCAL_MACHINE', 'HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\PE386'); DeleteService('PE386', true); RebootWindows(True); end.
Да - я сначала попробовал скриптом - неоднократно - после перезагрузки опять подозрение на RootKit.
Сейчас вроде пропал - я сделал как тут рекомендуется
http://virusinfo.info/showthread.php...ighlight=pe386
Так - повторно высылаю логи и карантин - вчерашний - сегодня пустой.
Последний раз редактировалось anton_dr; 15.12.2006 в 11:33.
Заразку следует присылать, согласно правилам.
Файл сохранён как 061215_041811_virus_45826853d9221.zip
Размер файла 125626
MD5 54f486de95471f476d5aa82833267ffc
Виноват =( Прошу прощения!
Вроде побили.
В HijackThis пофиксите:
Далее AVZ - Сервис - Менеджер автозапуска:Код:O2 - BHO: (no name) - AutorunsDisabled - (no file) O18 - Protocol: AutorunsDisabled - (no CLSID) - (no file)
Автозапуск - Реестр - AppInit_DDLs
Удалите элемент c:\windows\system32\ldcore.dll
Супер - премногоблагодарен!
Эх... ZoneAlarm Pro продолжает вылетать с той же самой ошибкой - или это никак не связано с троянцами?
И, кстати, при загрузке вылетает окошко с ошибкой MS Windows - BCCode: 1000007f
Уважаемый(ая) Marix, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
