Иногда выпадает синий экран, експлоуэр не грузится...

[Sulako]

..., некоторые приложения тоже.
Вот логи!

ЗЫ: Спасибо ребята за то что вы есть!!! И особенное спасибо за помощь!!

[PavelA]

Полный наборчик:

Код:

begin
ClearHostsFile;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('WinCtrl32.dll','');
 QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
 QuarantineFile('C:\WINDOWS\system32\kdyuo.exe','');
 QuarantineFile('C:\WINDOWS\system32\blphc59lj0ejb1.scr','');
 QuarantineFile('C:\WINDOWS\iexplorer.exe','');
 DeleteService('Winxc15');
 DeleteService('Winua15');
 DeleteService('Winty61');
 DeleteService('Winsa84');
 DeleteService('Winqv84');
 DeleteService('Winjo50');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winbg83.sys','');
 DeleteService('Winbg83');
 BC_DeleteSvc('TlntSvrxmlprov');
 BC_DeleteSvc('SysmonLogRSVP');
 BC_DeleteSvc('seclogonAudioSrv');
 BC_DeleteSvc('RemoteAccessEventSystem');
 BC_DeleteSvc('helpsvcDnscache');
 BC_DeleteSvc('ClipSrvseclogon');
 BC_DeleteSvc('AdobeMessenger');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winbg83.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winxc15.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winua15.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winty61.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winsa84.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winqv84.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winjo50.sys');
 DeleteFile('C:\WINDOWS\iexplorer.exe');
 DeleteFile('C:\WINDOWS\system32\blphc59lj0ejb1.scr');
 DeleteFile('C:\WINDOWS\system32\kdyuo.exe');
 DeleteFile('C:\WINDOWS\system32\ntos.exe');
 DeleteFile('WinCtrl32.dll');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteRepair(5);
ExecuteRepair(6);
BC_Activate;
RebootWindows(true);
end.

Загрузить карантин.

По окончанию лечения надо будет менять пароли.

Сделать новые логи.

[Sulako]

карантин закачал, логи делаются!!!
_________________________________
Результат загрузки

Файл сохранён как080715_021924_virus_487c4f7c771ff.zipРазмер файла387551MD58df6110f6ee5a63f4e2ee57efb790d7bФайл закачан, спасибо!

[Sulako]

Логи готовы.
Вот они!!!

[PavelA]

Профиксить:
O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\

Повтори скрипт из предыд. сообщения. Что-то большинство выжило.

После него сделать новые логи.

[Sulako]

пофиксил!! провёл скрипт,вот логи

[V_Bond]

выполните скрипт ...

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\twain_8.dll','');
 QuarantineFile('kdyuo.exe','');
 BC_DeleteSvc('Winhm04');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winhm04.sys','');
 BC_DeleteSvc('Pdq36');
 QuarantineFile('Pdq36.sys','');
 QuarantineFile('C:\WINDOWS\system32\pr2ajaqb.exe','');
 QuarantineFile('C:\WINDOWS\system32\drivers\ps6ajaqb.sys','');
 QuarantineFile('C:\WINDOWS\system32\drivers\pe3ajaqb.sys','');
 BC_DeleteSvc('SysmonLogRSVPAppMgmt');
 QuarantineFile('c:\windows\system32\mssrv32.exe','');
 BC_DeleteSvc('msupdate');
 BC_DeleteSvc('ccEvtMgrWmi');
 QuarantineFile('c:\windows\system32\userinit.exe','');
 DeleteFile('c:\windows\system32\mssrv32.exe');
 DeleteFile('Pdq36.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winhm04.sys');
 DeleteFile('kdyuo.exe');
 DeleteFile('C:\WINDOWS\twain_8.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

пришлите карантин согласно приложения 3 правилповторите логи ....

[Sulako]

карантин выслал!!
_________________________________________
Результат загрузки

Файл сохранён как080715_085218_virus_487cab9238067.zipРазмер файла769873MD5e77396e92c1f36fe9cbaeb2a6ba6c642Файл закачан, спасибо!

[Sulako]

Вот логи!!

[V_Bond]

c:\windows\system32\userinit.exe - Trojan.Win32.Pakes.ddu нужно заменить на чистый ....
выполните скрипт ...

Код:

begin
 BC_DeleteSvc('SysmonLogRSVPAppMgmt');
 BC_Activate;
 RebootWindows(true);
end.

повторите логи ....