Перейти к содержимому


- - - - -

После удаления вируса нет доступа к дискам в компьютере


  • Авторизуйтесь для ответа в теме
Сообщений в теме: 2

#1 Optick

Optick

    Новичок

  • Members
  • Pip
  • 38 сообщений
  • Пол:Мужчина

Отправлено 21 Август 2007 - 21:02

Вобщем подхватил я трояна недавно..
Каспер все вылечил но нет прямого доступа к дискам(((

Может троян остался ещё?

Вот анализ:Прикрепленный файл  avz_sysinfo.htm   89,17К   8 Количество загрузок:

Сообщение отредактировал XL: 21 Август 2007 - 21:19


#2 XL

XL

    забросил форум

  • Admin
  • PipPipPipPipPipPipPipPip
  • 8 253 сообщений
  • Пол:Мужчина
  • Интересы:IT: SEO, copyrighting, антивирусная безопасность, home networking. Остроумие и другие происки хорошего настроения. Оптимизм в производственных масштабах. Рыбалка в летний период. Добрые дела.

Отправлено 21 Август 2007 - 21:17

Выполните скрипт в AVZ (Файл - Выполнить скрипт - Скопировать в полее ввода нижеуказанный текст - Пуск)

Цитата

begin
SearchRootkit(false, true);
QuarantineFile('\SystemRoot\System32\Drivers\alt40445.SYS','');
DeleteFile('C:\autorun.inf');
DeleteFile('C:\autorun.inf');
BC_ImportQuarantineList;
BC_Activate;
ExecuteRepair(9);
RebootWindows(true);
end.

После выполнения скрипта пришлите мне заархивированное содержимое карантина AVZ.

Затем:

Цитата

1. Запустить проводник, включить показ скрытых и системных файлов: Сервис - Свойства папки - снять галку "Скрывать защищенные системные файлы" и отметить "Показывать скрытые файлы и папки".

2. Просмотреть корневые каталоги всех разделов на жестких дисках и всех имеющихся съемных дисков (вплоть до фотоаппаратов и мп3-плееров и флэшек), а также папку Windows\System32 и удалить там все файлы с именем autorun и любым расширением. Важно: открывать указанные места исключительно щелчком в левой части окна проводника, в дереве каталогов, а не двойным по иконке диска, ибо в последнем случае, открывая зараженный диск, опять заражаете комп.

3. Запустить редактор реестра (Пуск - Выполнить - regedit.exe) и сделать две вещи:

а) Раскрыть ключ
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows NT/Current Version/Winlogon
и проверить значение параметра Userinit. В нем должно быть C:\WINDOWS\system32\userinit.exe, и ничего более.
(Если система у вас установлена в другой раздел или папку, вместо C:\WINDOWS будет путь вашей системной папки).

б) Удалить целиком ключ
HKEY_CURRENT_USER/Software/Microsoft/Windows/Current Version/Explorer/MountPoints2.

Последний пункт повторить для всех пользователей системы, затем перезагрузиться.


#3 XL

XL

    забросил форум

  • Admin
  • PipPipPipPipPipPipPipPip
  • 8 253 сообщений
  • Пол:Мужчина
  • Интересы:IT: SEO, copyrighting, антивирусная безопасность, home networking. Остроумие и другие происки хорошего настроения. Оптимизм в производственных масштабах. Рыбалка в летний период. Добрые дела.

Отправлено 21 Август 2007 - 21:39

Файл не попал в карантин. Зайдите в сервис - модули пространства ядра и снимите дамп с этого файла (alt40445.SYS), если он еще там окажется под таким именем. Дамп так же заверните в архив и пришлите мне в личку. Не надо его сюда выкладывать!




Количество пользователей, читающих эту тему: 1

0 пользователей, 1 гостей, 0 анонимных