Уважаемые помогите пожалуйста вылечить bcp78.sys (Trojan.Pentax)

[taishigo]

сделаю,

Добавлено через 34 минуты

в безопасном режиме юзер запустил cureit машина перезругилась произвольно

[Bratez]

Выполняйте это:
http://virusinfo.info/showpost.php?p...7&postcount=19
Похоже единственный шанс.

[taishigo]

смогу сделать это только завтра

[Макcим]

Попробуйте полечиться AVPTool http://devbuilds.kaspersky-labs.com/devbuilds/AVPTool/

[taishigo]

Смог пролечить машину в безопасном режиме с помошью cureit.exe
(я переименовл ее и запускал с cd-диска)
она определила pqr50.sys как Trojan.NtRootKit.527

после перезагрузки в обычный режим AVZ без проблем сделал логи

[taishigo]

а вот сетевые диски стали не доступны в результате этой "битвы"

[V_Bond]

все чисто .... 222 в автозапуске ваши ?

почистим мусор ...
выполните скрипт ...

Код:

begin
 BC_DeleteSvc('FCI');
 BC_Activate;
 RebootWindows(true);
end.

пофиксите ...

Код:

O20 - Winlogon Notify: NavLogon - C:\WINDOWS\

[taishigo]

да 222 это мои

[V_Bond]

hijackthis.log -сделайте ...

[taishigo]

.

[Макcим]

Пуск - Выполнить:
Введите комадну: sfc /scannow
Windows будет проверять целостность защищённых файлов на вашем компе. Для восстановления может потребоваться установочный диск ОС.

[taishigo]

выполнил, все прошло нормально - ничего не просила никак не ругалась
(а вот netbios у меня слетел, что-нибудь посоветуйте)

[Bratez]

Не думаю, что проблема в нетбиосе... Попробуйте такой скриптик:

Код:

begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 0);
RebootWindows(true);
end.

[taishigo]

Выполнил не помогло
просто приведу факты (характерные только для этой машины у других все нормально)
1. в настройках сетевого интерфейса netbios включен (всем машинам сервер по dhcp раздает ip wins-сервера), служба доступа к файлам и принтерам установлена
2. net use x: \\servre\share вызывает системную ошибку 1231
3. ipconfig /all показывает что "netbios через tcp/ip" отключен, нет wins-сервера, хотя его ip прописал уже ручками в доп параметрах протокола tcp/ip
4. в реестре видно что служба netbios должна стартовать
5. а в системном логе вот такая ошибка:
Тип события: Предупреждение
Источник события: DnsApi
Категория события: Отсутствует
Код события: 11191
Дата: 18.01.2008
Время: 14:10:56
Пользователь: Н/Д
Компьютер: чччч-XP
Описание:
Не удалось обновить и удалить записи ресурсов (RR) указателей (PTR)
для сетевого адаптера с параметрами:

Имя адаптера: {4D229ACD-1F65-42EB-976D-7FE76DA5E941}
Имя узла: ччч-xp
Суффикс домена этого адаптера: ххх.local
Список DNS-серверов:
192.168.0.2
Отправка обновления на сервер: <?>
IP-адрес: 192.1.1.1

Не удалось удалить эти записи PTR RR из-за системной ошибки. Код конкретной ошибки содержится в отображаемых ниже данных.
Данные:
0000: 51 27 00 00 Q'..

192.1.1.1 вообще что-то левое - но такое я сегодня где-то в гуглах видел
народ советует не обращать внимания, для себя решения пока не нашел
6.бредмауер отключен, антиврусов нет, прочих файрволов тоже

зыж
(простите если гружу вас не по теме - от вирусной тематики мы ушли в сторону
если нужно прекратить оффтоп, скажите - я понятливый но не догадливый )

[V_Bond]

http://www.microsoft.com/technet/scr...atnc_wins.mspx

[taishigo]

эпопея продолжается
cureit в безопасном режиме обнаружил Trojan.Packed.194 в ...\system21\rt25.exe и
NtRootKit.527 в \system32\symavc32.sys

вот логи

[Bratez]

Ничего подозрительного не видно. Наверно Cureit сам справился.

Можно мусор пофиксить в HijackThis:

Код:

O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe (file missing)
O20 - Winlogon Notify: NavLogon - C:\WINDOWS\

[taishigo]

спасибо большое за помощь