qwect Опубликовано 22 июня, 2009 Опубликовано 22 июня, 2009 Nod32 3.0... нашел червя.Удалить не может.А именно Win32/Conficker.AA Worm... Просит перезагрузиться и история повторяется. Находится C:\WINDOWS\Temp\NOD351.tmp hijackthis.log virusinfo_syscure.zip virusinfo_syscheck.zip
thyrex Опубликовано 22 июня, 2009 Опубликовано 22 июня, 2009 Загрузите GMER по одной из указанных ссылок Gmer со случайным именем (рекомендуется), Gmer в zip-архиве (перед применением распаковать в отдельную папку) Запустите программу (пользователям Vista запускать от имени Администратора по правой кнопке мыши). Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No. После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов: Sections IAT/EAT Show all Из всех дисков оставьте отмеченным только системный диск (обычно C:\) Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK. После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.
DaTa Опубликовано 22 июня, 2009 Опубликовано 22 июня, 2009 а можно загрузится в безопасном режиме (F8), грохнуть тела руками и загрузится потом в нормальном режиме Невсегда, есть черви и прочая дрянь кторая блокирует Безопасный режим или продолжает в нем выполнятся.
qwect Опубликовано 22 июня, 2009 Автор Опубликовано 22 июня, 2009 а можно загрузится в безопасном режиме (F8), грохнуть тела руками и загрузится потом в нормальном режиме Пробовал,не удаляется вручную.Только переименовывается to DaTa StartupMonitor.exe - это программа следит,чтобы другие в автозагрузку не лезли.По-моему удалять не стоит Вот лог, который вы просили... GMER_1.0.15.14972.log
Сергей 1 Опубликовано 22 июня, 2009 Опубликовано 22 июня, 2009 thyrex Дайте ссылку откуда вы про гмер во 2 посте скопировали. Ваша личка отключена поэтому прошу тут.
qwect Опубликовано 22 июня, 2009 Автор Опубликовано 22 июня, 2009 Вот лог, который вы просили... GMER_1.0.15.14972.log
thyrex Опубликовано 22 июня, 2009 Опубликовано 22 июня, 2009 Сохраните текст ниже как cleanup.bat в ту же папку, где находится gmer.exe (внимание: если вы скачивали gmer со случайным именем, замените в скрипте gmer.exe на имя скачанного exe-файла) gmer.exe -del service rqcrijiww gmer.exe -del service zbwlmze gmer.exe -del file "C:\WINDOWS\system32\fspjbmii.dll" gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\rqcrijiww" gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\zbwlmze" gmer.exe -del reg "HKLM\SYSTEM\ControlSet001\Services\qyahsqan" gmer.exe -del reg "HKLM\SYSTEM\ControlSet004\Services\rqcrijiww" gmer.exe -del reg "HKLM\SYSTEM\ControlSet004\Services\zbwlmze" gmer.exe -reboot И запустите cleanup.bat Сделать новый лог gmer
Сергей 1 Опубликовано 22 июня, 2009 Опубликовано 22 июня, 2009 (изменено) Спасибо за ссылку. А что русского нет варианта ссылки? Изменено 22 июня, 2009 пользователем Сергей 1
qwect Опубликовано 22 июня, 2009 Автор Опубликовано 22 июня, 2009 Было сообщение,что не нашел 1 модуль и 2 ключа\ветки реестра. cmd отработала,перезагрузился. Вот лог,который Вы просили... GMER_1.0.15.14972_new_.log
thyrex Опубликовано 22 июня, 2009 Опубликовано 22 июня, 2009 В логе чисто. Очистите временные файлы через Пуск – Программы – Стандартные – Служебные –Очистка диска или с помощью ATF Cleaner – скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected. – если вы используете Firefox, нажмите Firefox – Select All – Empty Selected – нажмите No, если вы хотите оставить ваши сохраненные пароли – если вы используете Opera, нажмите Opera – Select All – Empty Selected – нажмите No, если вы хотите оставить ваши сохраненные пароли Как ведет себя антивирус?
qwect Опубликовано 22 июня, 2009 Автор Опубликовано 22 июня, 2009 Использую Ccleaner...Сечас попробую то,что вы предложили. В папке C:\WINDOWS\Temp\ остался 1.tmp, который воспринимается NODом как червь. Еще появился странный фаил "hlktmp"... Воспользовался программой...146Мб удалилось.
ТроПа Опубликовано 23 июня, 2009 Опубликовано 23 июня, 2009 Ну а после удаления как, проблемы ещё наблюдаются?
qwect Опубликовано 23 июня, 2009 Автор Опубликовано 23 июня, 2009 Не удаляется никак(( Защищенный фаил говорит...
thyrex Опубликовано 23 июня, 2009 Опубликовано 23 июня, 2009 Отключить антивирус Выполните скрипт в AVZ begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\Temp\1.tmp',''); DeleteFile('C:\WINDOWS\Temp\1.tmp'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end. Компьютер перезагрузится. Выполнить скрипт в AVZ. begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com. Полученный ответ сообщите здесь. Что с проблемой?
qwect Опубликовано 24 июня, 2009 Автор Опубликовано 24 июня, 2009 (изменено) Отправил письмо с архивом карантина на newvirus@kaspersky.com. Из папки TEMP он удалился... а проблема вот какая.Я думал,что заражение тем,что мы удалили воздействовало на ПК.А именно: Живу в студенческом общежитии.Имеется локальная "общажная" сеть ну и интернет. Раньше,месяц назад,появлялось сообщение при включенном интернете General Host Controller... Закрываешь его,машина думает и всё вроде нормально,но в Диспетчере устройств не определяется сетевая карта и пропадает звук(с сообщением: что-то типa Не могу инициализировать Direct Sound) при просмотре фильмов... Сейчас ошибки не выскакивают,но звук пропадает... Изменено 24 июня, 2009 пользователем qwect
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти