|
комп в "организации" -2
схожая проблема с http://forum.oszone.net/thread-176346.html
так же никакие утилиты не работают.безопасного режима нет. был подвязан к другому -"здоровому" компьютеру - подчищен утилитками(где то 300 зараженных файлов) в самой системе все равно антивирь утилитки работать не хотят. единственные отличия от предыдущего моего вопроса - компьютер обычный -потеря данных не так страшна и есть возможность загрузки с лайва. (компьютеры -"спаренные", - находятся в одной социальной среде) логи выложить не могу по причине невозможности запуска утилит. |
Цитата:
Цитата:
• Скачайте RSIT или отсюда. Запустите, выберите проверку файлов за последние три месяца (3 Month) и нажмите продолжить (Continue). Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска. |
Цитата:
Цитата:
rsit не работает.... выскакивает баннер с 3381. при попытках вбить код - исчезает. (качаю лайв веба. еще раз посканирую) |
yarcev20071, Если заражённый винт был подключен к здоровому компу, и утилиты, вы, говорите "рубит", то может быть здоровый комп вовсе и не здоровый? Мне кажется такого по определению быть не может, чтобы "лежачие" файлы на винте "рубили" утилиты. :no:
|
нет. утилиты уже на том "нездоровом" компьютере ру..... не дает запустить(соглашусь - в предыдущем посте написал не совсем связно) что то зловещее.(извиняюсь за лирику)
сейчас с лайва др.веб сканирует систему(на нездоровом компе). пока все по нулям. думаю часа через 2 закончит сканирование. |
Если удастся запустить систему, выполняйте правила
Если нет, ищите образ ERD Commander. Нужно будет править реестр |
Цитата:
после веба с лайва еще раз попробую |
доктор веб после многочасового сканирования сказал - все нормально.ни одного зараженного файла.
странно, но порнобаннер остался, но уже не выводит никаких цифр, ни номера ни текста. просто при запуске утилит выскакивает, а потом уходит. хм.... я уже и не знаю.... впервые с таким настырным "противостоянием" сталкиваюсь..... может батник какой нибудь сработает? попробую еще раз загрузиться в erd...... |
в erd загрузился. userinit в норме(до этого...часов 6 назад удалось запустить antiautorun -который поставил стандартное значение)
добавляю снимок загрузки(снимок не ахти, но видно- 1,3мп -телефон) компьютер (с загруженным эрдом) не выключаю..... итак сложно загрузился. жду рекомендаций. |
Посмотрите в реестре:
ветка Код:
HKEY_LOCALE_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\WindowsКод:
AppInit_DLLs |
С:WINDOWS\Fonts\CORBELZ.TTF:exaSnrGYA9hVeHelw2hu
|
Приступаем (все выполнять с LiveCD):
1. Переименуйте указанный файл 2. Очистите значение параметра AppInit_DLLs 3. Перезагрузитесь, пробуйте загрузиться в обычном режиме и выполнить правила |
снимок ветки выкладываю. не.... не получилось. там -сумма вложений превышена... ладно перехожу к рекомендациям
Цитата:
|
Цитата:
А файл поищите на диске и переименуйте |
Цитата:
файл шрифта... замаскированный....о блин....как глубоко... |
Как хотите
|
о! все заработало(avz)... скоро будут логи.
|
вот...
|
еще раз вот(не грузит все... странно)
|
еще раз
|
Вложений: 1
попытка номер 100
|
помимо "выдачи" скриптов, которые надеюсь будут, пожалуйста объясните за что этот файл и ветка реестра отвечают и как бороться с похожими проблемами?......(первый раз с таким гадким винлокером сталкиваюсь, обычно стандартные способы срабатывают)
|
Цитата:
ЕСли помните пред- и постновогоднюю эпидемию вымогателей, они действовали по тому же принципу. Этот способ борьбы можно применять только к той разновидности блокировщика (на номер 3381), которая была у Вас. Выполните скрипт в AVZ Код:
beginВыполните скрипт в AVZ Код:
beginТакже этот архив отправьте на thyrex2002<at>tut.by (at=@) с указанной ссылкой на тему. Сделайте новые логи Выполните дополнительно Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол. 1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет, пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix. 2. Запустите combofix.exe, когда процесс завершится, файл C:\ComboFix.txt прикрепите к сообщению. Примечание: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe |
спасибо... все это уже завтра... почти сегодня.
|
Ок. Аналогично
|
карантин отправил в лабораторию касперского и на thyrex2002<at>tut.by at=@
логи выкладываю. |
c:\windows\System32\sfcfiles.dll восстановите с дистрибутива http://virusinfo.info/showthread.php?t=51654
Пуск - Выполнить - regedit В этом ключе Код:
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол. Код:
KillAll::  Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению. |
Цитата:
|
Еще один файл пропустил - c:\windows\system32\vli.dll. Удалите его вручную.
Цитата:
Запакуйте, пожалуйста, папку C:\Qoobox\Quarantine с паролем virus и пришлите на thyrex2002<at>tut.by (at=@) с указанной ссылкой на тему. Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду Combofix /Uninstall, нажмите кнопку "ОК"   Скачайте OTCleanIt или с зеркала, запустите, нажмите Clean up В остальном порядок Установите Internet Explorer 8 (даже если им не пользуетесь) Установите Adobe Acrobat 9.3 или удалите старый P.S. Теперь Вам понятен принцип действия и во второй Вашей теме |
все выполнил. спасибо за помощь!
встретимся здесь - http://forum.oszone.net/thread-176346.html на выходных. |
| Время: 09:58. |
Время: 09:58.
© OSzone.net 2001-