червь/вирус. Логи внутри.

[Йулий]

Добрый день. Жена случайно как то подхватила вирус на безобидном детском сайте. В результате действия вирра в течение 2-х дней и последующей прогонки нескольких антивирусов система немного пострадала, а именно пропали закладки в окне "рабочий стол-правый клик-.." их осталось только 3 и то с частичным присутствием кнопок. Прогнл др. вэбом раз 5, вирусы перестал находить. полечился по Процедуре - ещё парочку изолировал. Но всё равно иногда появляется процесс svchost, который начинает жрать память и процессор. В корне виндовс его нет. Логи в приложении. Спасибо. ПС! в безопсном режиме немогу войти н омп, непускает, говорит , что пароль неверный. наверн изза того, что омп принадлежит к рабочей локалке, но нходится далеко от ней и подключен к ней через инет.

[V_Bond]

выполните скрипт ...

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\_scui.cpl','');
 QuarantineFile('karina.dat','');
 DeleteService('Winwd85');
 DeleteService('Winpw85');
 DeleteService('Winou30');
 DeleteService('Winkq30');
 DeleteService('Winio63');
 DeleteService('Windj28');
 DeleteService('Winci28');
 DeleteService('WMPNetworkSvcCiSvc');
 DeleteService('winvncClipSrv');
 DeleteService('SwPrvSysmonLog');
 DeleteService('stisvcRSVPMSDTCTrkWks');
 DeleteService('SENSAppMgmtNtmsSvc');
 DeleteService('SENSAppMgmt');
 DeleteService('seclogonTlntSvrDnscache');
 DeleteService('seclogonTlntSvr');
 DeleteService('SCardSvrlanmanworkstationNetDDE');
 DeleteService('RSVPMSDTCTrkWks');
 DeleteService('RSVPMSDTC');
 DeleteService('PolicyAgentOpenVPNServiceRSVP');
 DeleteService('PolicyAgentOpenVPNService');
 DeleteService('OracleOraHome92ClientCachewuauservRpcLocator');
 DeleteService('OracleOraHome92ClientCachewuauserv');
 DeleteService('NtLmSspWmiApSrv');
 DeleteService('NOD32krnwinvnc');
 DeleteService('MessengerwinvncWMPNetworkSvcCiSvc');
 DeleteService('MessengerwinvncWmi');
 DeleteService('Messengerwinvnc');
 DeleteService('lanmanworkstationNetDDEAlerter');
 DeleteService('HTTPFilterSamSs');
 DeleteService('FastUserSwitchingCompatibilitySysmonLog');
 DeleteService('FastUserSwitchingCompatibilityPolicyAgent');
 DeleteService('DcomLaunchWMPNetworkSvcCiSvc');
 DeleteService('clr_optimization_v2.0.50727_32 Service');
 DeleteService('ClipSrvNetTcpPortSharing');
 DeleteService('BrowserNetman');
 DeleteService('AudioSrvRSVPMSDTCTrkWks');
 QuarantineFile('srv.exe','');
 DeleteFile('srv.exe');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winci28.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Windj28.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winio63.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winkq30.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winou30.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winpw85.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winwd85.sys');
 DeleteFile('karina.dat');
 DeleteFile('C:\WINDOWS\system32\_scui.cpl');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteRepair(5);
ExecuteRepair(6);
ExecuteRepair(8);
BC_Activate;
RebootWindows(true);
end.

пришлите карантин согласно приложения 3 правил ...
повторите логи ...

[Йулий]

Запустил.полечил. После запуска скрипта, он немного поработал и выскочило окошко , что памятть неможет быть read и ушёл в пеерзагрузку. закладки появились, но пропал интернет и удалённый доступ(но его можно будет восстановить). после прогона опять всплыли подозрительный файлы. файлы прилагаю.

[V_Bond]

пофиксите ....

Код:

R3 - URLSearchHook: (no name) - {00A6FAF6-072E-44cf-8957-5838F569A31D} - (no file)
O3 - Toolbar: (no name) - {07B18EA9-A523-4961-B6BB-170DE4475CCA} - (no file)
O8 - Extra context menu item: &Search - http://edits.mywebsearch.com/oolbaredits/menusearch.jhtml?p=ZCxdm490YYRU
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.exe.imgfarm.com/images/nocache/funwebproducts/ei/CursorManiaFWBInitial Setup1.0.0.15-3.cab

теперь подробнее какие проблемы остались ?

[Йулий]

Интернета нет, хотя IP присваивается и правильный.

[Rene-gad]

- Выполните скрипт

Код:

begin
executerepair(14);
RebootWindows(true);
end.

После перезагрузки проинформируйте о состоянии ПК.

[Йулий]

Интернет вроде заработал(как то всплыла галка для использования гейта, вот он и ломился через удалённый доступ). вроде всё работает, признаков нет. Надо ли будет его ещё раз прогнать через AVZ и др.вэб?

[Гриша]

Не нужно

[Йулий]

спасибо.