Подскажите что нибудь

[Олег А]

есть комп... AVZ и Куритом удалил много всякой гадости... но

сейчас вроде запускается и вроде даже работает... если запускать родные виндовые программы... если же запускать другие (тот же тотал или ворд) которые уже были установленны, то пытается чтото писать ctfmon или ехрлорером на флешку (она с защитой от записи), выбивает запущенный авз и каспера (кис 7), притом на флешку вроде на самом деле ничего не пишет (проверял ставя чистую флешку и проверяя её потом нодом 7 и каспером корпоративкой), если же запускать тотала с флешки - то нормально работает...

прогонял соответственно авзтом, хайджаком, куритом, адваром... вроде всё нормально... логи прилагаю...

сейчас установлен кис 7... (ставил ПОСЛЕ лечения)

hijackthis.log

avz_log.txt

avz_sysinfo.htm

avz_sysinfo.xml

hijackthis.log

avz_log.txt

avz_sysinfo.htm

avz_sysinfo.xml

[akoK]

Скачайте Icesword

Запустите программу.

Внизу слева выберите меню File.

Появится аналог проводника. Найдите в нем файл руткита:

C:\WINDOWS\system32\Drivers\Ilh07.sys

Нажмите по нему правой кнопкой мыши и выберите force delete.

На запрос потверждения ответьте "да".

Перезагрузите компьютер.

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

beginSearchRootkit(true, true);SetAVZGuardStatus(true);SetServiceStart('Ilh07', 4);DeleteFile('C:\WINDOWS\System32\Drivers\Ilh07.sys');DeleteService('Ilh07');BC_ImportDeletedList;BC_Activate;ExecuteSysClean;RebootWindows(true);end.

После выполнения скрипта компьютер перезагрузится.

Повторите логи....согласно правил

8. Создайте тему в ветке «Лечение систем от компьютерных вирусов» и присоедините полученные логии: virusinfo_syscure.zip, virusinfo_syscheck.zip, hijackthis.log

Изменено 25 июня, 2008 пользователем akoK

[Олег А]

удалил этот драйвер, но ничего не изменилось...

после запуска программ так и пытается чтото писать на заблокированную флешку, реально ничего туда не записывая (если флешка не заблокирована), и так же вышибает авз и каспера... притом если авз переименовать (например в 123), то он запускается и работает...

i

Уведомление:

virusinfo_cure.zip - это карантин...не путайте, пожалуйста.

hijackthis.log

virusinfo_syscure.zip

hijackthis.log

virusinfo_syscure.zip

Изменено 25 июня, 2008 пользователем akoK

[akoK]

Перед выполнением скрипта выключайте все АВ программы

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

beginSearchRootkit(true, true);SetAVZGuardStatus(true);SetServiceStart('Ilh07', 4);DeleteService('Ilh07');QuarantineFile('C:\WINDOWS\system32\drivers\gknlnn.sys','');DeleteFile('C:\WINDOWS\system32\drivers\gknlnn.sys');DeleteFile('C:\WINDOWS\System32\Drivers\Ilh07.sys');BC_ImportALL;ExecuteRepair(1);ExecuteRepair(6);ExecuteRepair(8);BC_Activate;ExecuteSysClean;RebootWindows(true);end.

После выполнения скрипта компьютер перезагрузится.

beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end.

Полученный архив отправьте на akok<at>pisem.net с указанной ссылкой на тему. (at=@)

Пофиксить в HijackThis следующие строчки

	O24 - Desktop Component AutorunsDisabled: (no name) - (no file) 

Теперь должно быть получше.

Повторите логи.

Пару работающих ехе-шников проверьте на http://www.virustotal.com/ru/ - для исключения наличия файлового вируса.

[Олег А]

на винте при подключении к другому компу НОД нашел:

26.06.2008 0:59:16 Защита файловой системы в режиме реального времени файл I:\autorun.exe Win32/Sality.NAO вирус очищен - изолирован NT AUTHORITY\SYSTEM Событие произошло при попытке доступа к файлу следующим приложением: C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe.

ну и ещё таких же... а прочему ничего их не видело БЕЗ отключения винта ? не всегда есть возможность переносить винт...

после выполнения всех предыдущих скриптов ничего не поменялось... сейчас просканирую винт НОДом и посмотрю что получится...

[Matias]

Win32/Sality.NAO вирус

Лечение файлового вируса.