Junior Member
Вес репутации
57
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Junior Member
Вес репутации
57
Во время сканирования после требуемой перезагрузки выскакивало окно "Отправть информацию об ошибки в Микрософт (вроде)" которое после закрытия тут же снова выскакивало. Помогло только полное выключение копма и запуск по новой.
Вложения
скачайте C:\WINDOWS\system32\Drivers\Winps02.sys - force delete
выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\upuphnm.dll','');
QuarantineFile('C:\WINDOWS\system32\braviax.exe','');
QuarantineFile('C:\WINDOWS\system32\buritos.exe','');
QuarantineFile('C:\WINDOWS\system32\amvo.exe','');
QuarantineFile('C:\WINDOWS\karina.dat','');
BC_DeleteSvc('Winyc68');
BC_DeleteSvc('Winyc35');
BC_DeleteSvc('Winyc03');
BC_DeleteSvc('Winxa58');
BC_DeleteSvc('Winwa70');
BC_DeleteSvc('Winwa58');
BC_DeleteSvc('Winwa03');
BC_DeleteSvc('Winvy14');
BC_DeleteSvc('Winvy03');
BC_DeleteSvc('Winva58');
BC_DeleteSvc('Winuy47');
BC_DeleteSvc('Winux70');
BC_DeleteSvc('Winux60');
BC_DeleteSvc('Winux58');
BC_DeleteSvc('Winru47');
BC_DeleteSvc('Winru03');
BC_DeleteSvc('Winqt71');
BC_DeleteSvc('Winqt35');
BC_DeleteSvc('Winpt14');
BC_DeleteSvc('Winps47');
BC_DeleteSvc('Winps36');
BC_DeleteSvc('Winps14');
BC_DeleteSvc('Winnq70');
BC_DeleteSvc('Winmp24');
BC_DeleteSvc('Winlo57');
BC_DeleteSvc('Winkn70');
BC_DeleteSvc('Winkn58');
BC_DeleteSvc('Winkn57');
BC_DeleteSvc('Winhk46');
BC_DeleteSvc('Winhk14');
BC_DeleteSvc('Winfj58');
BC_DeleteSvc('Winfi58');
BC_DeleteSvc('Winfi14');
BC_DeleteSvc('Wineh68');
BC_DeleteSvc('Wineh36');
BC_DeleteSvc('Windg25');
BC_DeleteSvc('Windg03');
BC_DeleteSvc('Wincf70');
BC_DeleteSvc('Winbf03');
BC_DeleteSvc('Winbe36');
BC_DeleteSvc('Winbe14');
BC_DeleteSvc('Winae03');
BC_DeleteSvc('Winad57');
BC_DeleteSvc('Winad24');
BC_DeleteSvc('Winps02');
BC_DeleteSvc('WZCSVCRasManNetDDEdsdm');
BC_DeleteSvc('WmiWmiApSrvSENSCryptSvcLmHosts Smart');
BC_DeleteSvc('WmiWmiApSrvSENSCryptSvcLmHosts');
BC_DeleteSvc('WmiUPSMONServiceDnscache');
BC_DeleteSvc('WmiTlntSvr');
BC_DeleteSvc('WmiSENSCryptSvcLmHostsHidServseclogon');
BC_DeleteSvc('WmiSENSCryptSvcLmHosts');
BC_DeleteSvc('WmiApSrvseclogonWmiApSrv');
BC_DeleteSvc('Wmi Smart');
BC_DeleteSvc('W32TimeRpcSsAudioSrvSysmonLogRpcSsRSVP');
BC_DeleteSvc('W32TimeRpcSsAppMgmt');
BC_DeleteSvc('W32TimeRpcSs');
BC_DeleteSvc('VSSRSVP');
BC_DeleteSvc('UMWdfAlerterShellHWDetectionBrowserThemesSharedAccessInCDsrvRlanmanworkstation');
BC_DeleteSvc('UMWdfAlerterShellHWDetection');
BC_DeleteSvc('UMWdfAlerterNetDDE');
BC_DeleteSvc('UMWdfAlerter');
BC_DeleteSvc('TrkWksRemoteAccessaspnet_stateNetDDEdsdmwinmgmtCiSvc');
BC_DeleteSvc('TrkWksRemoteAccessaspnet_state');
BC_DeleteSvc('ThemesMessenger');
BC_DeleteSvc('ThemesALGNetmandmserverNtmsSvcClipSrvAlerter');
BC_DeleteSvc('ThemesALGNetmandmserverNtmsSvc');
BC_DeleteSvc('Themes Licensing Service');
BC_DeleteSvc('TermServicewscsvc');
BC_DeleteSvc('TapiSrvSENSCryptSvclanmanserverLmHosts');
BC_DeleteSvc('stisvcALGNetman LM Service');
BC_DeleteSvc('stisvcALGNetman');
BC_DeleteSvc('srserviceWmiATIRemoteAccessaspnet_state');
BC_DeleteSvc('srserviceWmi');
BC_DeleteSvc('srservicehelpsvcLightScribeService');
BC_DeleteSvc('SpoolerRSVPdmadminSamSs');
BC_DeleteSvc('Spooler Smart');
BC_DeleteSvc('ShellHWDetectionwuauservShellHWDetection');
BC_DeleteSvc('ShellHWDetectionwuauservRemoteRegistry');
BC_DeleteSvc('ShellHWDetectionwuauserv');
BC_DeleteSvc('ShellHWDetectionTapiSrv');
BC_DeleteSvc('ShellHWDetection Licensing Service');
BC_DeleteSvc('SENSShellHWDetectionwuauserv');
BC_DeleteSvc('SENSCryptSvcSharedAccess');
BC_DeleteSvc('SENSCryptSvcLmHostsATIRemoteAccessaspnet_stateInCDsrvDnscacheRSVPdmadmin');
BC_DeleteSvc('SENSCryptSvcLmHosts');
BC_DeleteSvc('SENSCryptSvclanmanserverWmiWmiApSrvSENSCryptSvcLmHosts');
BC_DeleteSvc('SENSCryptSvclanmanserverLmHosts');
BC_DeleteSvc('SENSCryptSvclanmanserver');
BC_DeleteSvc('SENSCryptSvc');
BC_DeleteSvc('seclogonWmiApSrv');
BC_DeleteSvc('SchedulelanmanserverRasManRasAutomnmsrvc');
BC_DeleteSvc('RSVPdmadminSamSs');
BC_DeleteSvc('RSVPdmadminCiSvc');
BC_DeleteSvc('RSVPdmadmin');
BC_DeleteSvc('RpcSsRSVPBrowserThemesSharedAccessInCDsrvRlanmanworkstation');
BC_DeleteSvc('RpcSsRSVPAudioSrvRasMan');
BC_DeleteSvc('RpcSsRSVP');
BC_DeleteSvc('RpcLocatorNetDDEdsdmInCDsrvRlanmanworkstation');
BC_DeleteSvc('RpcLocatorlanmanserverRDSessMgr');
BC_DeleteSvc('RpcLocatordmserverMSSQLServerADHelperdmadmin');
BC_DeleteSvc('RpcLocatordmserverMSSQLServerADHelper');
BC_DeleteSvc('RpcLocatordmserver');
BC_DeleteSvc('RemoteRegistryLightScribeServiceWmiWmiApSrv');
BC_DeleteSvc('RemoteAccessaspnet_state');
BC_DeleteSvc('RasManRasAutomnmsrvc');
BC_DeleteSvc('RasManNetDDEdsdm');
BC_DeleteSvc('RasMan LM Service');
BC_DeleteSvc('MSSQLServerADHelperAudioSrvRemoteAccessaspnet_statesrservice');
BC_DeleteSvc('MSSQLServerADHelperAudioSrvRemoteAccessaspnet_state');
BC_DeleteSvc('MSSQLServerADHelperAudioSrv');
BC_DeleteSvc('MSSQL$SONY_MEDIAMGRupnphost');
BC_DeleteSvc('MSSQL$SONY_MEDIAMGRALGNetmanNtmsSvcBITS');
BC_DeleteSvc('MessengerBITS');
BC_DeleteSvc('LightScribeServiceWmiWmiApSrv');
BC_DeleteSvc('lanmanworkstationRasManNetDDEdsdmShellHWDetectionwuauserv');
BC_DeleteSvc('lanmanserverRDSessMgrDnscacheEhttpSrv');
BC_DeleteSvc('lanmanserverRDSessMgrDnscache');
BC_DeleteSvc('lanmanserverRDSessMgr');
BC_DeleteSvc('lanmanserverRasManRasAutomnmsrvc');
BC_DeleteSvc('InCDsrvRRSVP');
BC_DeleteSvc('InCDsrvRRasManNetDDEdsdm');
BC_DeleteSvc('InCDsrvRlanmanworkstationLightScribeServiceWmiWmiApSrv');
BC_DeleteSvc('InCDsrvRlanmanworkstation');
BC_DeleteSvc('InCDsrvDnscacheRSVPdmadmin');
BC_DeleteSvc('ImapiServiceUPSNOD32krn');
BC_DeleteSvc('ImapiServiceUPSLmHostsRasAutomnmsrvcRSVPdmadminSamSs');
BC_DeleteSvc('ImapiServiceUPSLmHosts');
BC_DeleteSvc('ImapiServiceUPS');
BC_DeleteSvc('HTTPFilterSENSCryptSvc');
BC_DeleteSvc('HidServxmlprov');
BC_DeleteSvc('HidServseclogonShellHWDetectionwuauservShellHWDetectionAlerterBrowserThemesTermService');
BC_DeleteSvc('HidServseclogonShellHWDetectionwuauservShellHWDetection');
BC_DeleteSvc('HidServseclogon');
BC_DeleteSvc('HidServNtmsSvc');
BC_DeleteSvc('HidServ Smart');
BC_DeleteSvc('HidServ HotKey Poller');
BC_DeleteSvc('helpsvcLightScribeServiceBrowserUMWdfAlerterRasManNetDDEdsdmShellHWDetectionwuauserv');
BC_DeleteSvc('helpsvcLightScribeServiceBrowserUMWdf');
BC_DeleteSvc('helpsvcLightScribeService');
BC_DeleteSvc('helpsvcALGPolicyAgent');
BC_DeleteSvc('FLEXnetLightScribeService');
BC_DeleteSvc('FastUserSwitchingCompatibilityLmHostsProtectedStorageDnscacheRSVPdmadminClipSrv');
BC_DeleteSvc('FastUserSwitchingCompatibilityLmHosts');
BC_DeleteSvc('EventSystemdmserverNtmsSvcSchedule');
BC_DeleteSvc('DnscacheWmiApSrvHidServdmserverNtmsSvcSchedule');
BC_DeleteSvc('DnscacheWmiApSrvHidServ');
BC_DeleteSvc('DnscacheWmiApSrvBITSEventlog');
BC_DeleteSvc('DnscacheWmiApSrv');
BC_DeleteSvc('DnscacheRSVPdmadmin');
BC_DeleteSvc('dmserverShellHWDetectionwuauservShellHWDetectionHidServseclogon');
BC_DeleteSvc('dmserverShellHWDetectionwuauservShellHWDetection');
BC_DeleteSvc('dmserverNtmsSvcSchedule');
BC_DeleteSvc('dmserverNtmsSvc');
BC_DeleteSvc('dmserverHTTPFilter');
BC_DeleteSvc('dmadminNetDDEPlugPlay');
BC_DeleteSvc('DcomLaunchRemoteAccess');
BC_DeleteSvc('CryptSvcdmadminupnphost');
BC_DeleteSvc('CryptSvcdmadmin');
BC_DeleteSvc('clr_optimization_v2.0.50727_32RasManRasAutomnmsrvc');
BC_DeleteSvc('ClipSrvAlerter');
BC_DeleteSvc('BrowserUMWdf');
BC_DeleteSvc('BrowserThemesSharedAccessInCDsrvRlanmanworkstation');
BC_DeleteSvc('BrowserThemesSharedAccess');
BC_DeleteSvc('BrowserThemes');
BC_DeleteSvc('BrowserRasAutoTermServicewscsvc');
BC_DeleteSvc('BrowserRasAuto');
BC_DeleteSvc('BITSEventlog');
BC_DeleteSvc('AudioSrvSysmonLog');
BC_DeleteSvc('AudioSrvRasManWmiApSrv');
BC_DeleteSvc('ATIRemoteAccessaspnet_stateInCDsrvDnscacheRSVPdmadmin');
BC_DeleteSvc('ATIRemoteAccessaspnet_state');
BC_DeleteSvc('AtiALG');
BC_DeleteSvc('AppMgmtRSVPdmadminCiSvc');
BC_DeleteSvc('AppMgmt Smart');
BC_DeleteSvc('ALGRpcLocator');
BC_DeleteSvc('ALGPolicyAgent');
BC_DeleteSvc('ALGNetmanNtmsSvcBITS');
BC_DeleteSvc('ALGNetmandmserverNtmsSvcHTTPFilter');
BC_DeleteSvc('ALGNetmandmserverNtmsSvc');
BC_DeleteSvc('ALGNetman');
BC_DeleteSvc('AlerterRemoteAccess');
BC_DeleteSvc('AlerterRasManNetDDEdsdmShellHWDetectionwuauserv');
BC_DeleteSvc('AlerterDnscacheWmiApSrvBITSEventloglanmanserverRasManRasAutomnmsrvc');
BC_DeleteSvc('AlerterDnscacheWmiApSrvBITSEventlog');
BC_DeleteSvc('AlerterBrowserThemesTermServiceLightScribeServiceWmiWmiApSrv');
BC_DeleteSvc('AlerterBrowserThemesTermServiceHidServseclogonShellHWDetectionwuauservShellHWDetection');
BC_DeleteSvc('AlerterBrowserThemesTermService');
BC_DeleteSvc('AlerterBrowserThemes');
QuarantineFile('C:\WINDOWS\system32\Drivers\Winps02.sys','');
TerminateProcessByName('c:\windows\system32\buritos.exe');
QuarantineFile('c:\windows\system32\buritos.exe','');
DeleteFile('c:\windows\system32\buritos.exe');
DeleteFile('C:\WINDOWS\system32\Drivers\Winps02.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winps02.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winad24.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winad57.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winae03.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winbe14.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winbe36.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winbf03.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Wincf70.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Windg03.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Windg25.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Wineh36.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Wineh68.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winfi14.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winfi58.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winfj58.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winhk14.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winhk46.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winkn57.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winkn58.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winkn70.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winlo57.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winmp24.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winnq70.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winps14.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winps36.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winps47.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winpt14.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winqt35.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winqt71.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winru03.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winru47.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winux58.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winux60.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winux70.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winuy47.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winva58.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winvy03.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winvy14.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winwa03.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winwa58.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winwa70.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winxa58.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winyc03.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winyc35.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winyc68.sys');
DeleteFile('C:\WINDOWS\karina.dat');
DeleteFile('C:\WINDOWS\system32\amvo.exe');
DeleteFile('C:\WINDOWS\system32\blphct30j0e175.scr');
DeleteFile('C:\WINDOWS\system32\buritos.exe');
DeleteFile('C:\WINDOWS\system32\braviax.exe');
DeleteFile('C:\WINDOWS\system32\upuphnm.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
пришлите карантин согласно приложения 2 правил
повторите логи
Junior Member
Вес репутации
57
Сообщение от
V_Bond
скачайте C:\WINDOWS\system32\Drivers\Winps02.sys - force delete
В чём или через что выполнить?
Сообщение от
V_Bond
выполните скрипт
Я так понял в AVZ.
Сообщение от
GAN
force delete
В чём или через что выполнить?
Вот здесь подробнее: http://virusinfo.info/showthread.php?t=17228
А скрипт - в AVZ.
I am not young enough to know everything...
Junior Member
Вес репутации
57
Всё по прежнему. Единственно что исчезло сообщение на скрине в 1-ом посте после установки Spyware Doctor.
Обнаружил что в "Панели управления" пропал "WINDOWS Секюрити" - та менюшка где показывается включение/выключение автообновления, брендмаузера и антивируса. Исчезло скрытие неиспользующихся значков в трее у часов.
Карантин послал:
Файл сохранён как 080917_174743_virus_48d1890f780e4.zip
Размер файла 183712
MD5 d1e59c4dfca8aafef09bab78f84005a0
P.S.
А на сколько в таком случае может помочь переустановка системы?
Вложения
Последний раз редактировалось GAN; 18.09.2008 в 03:08 .
Сообщение от
GAN
Всё по прежнему.
Ну понятное дело, так как Вы сделали все неправильно.
Сообщение от
GAN
Единственно что исчезло сообщение на скрине в 1-ом посте после установки Spyware Doctor.
Ни какой Spyware Doctor устанавливать было не нужно! Деинсталлируйте его! Вам нужен IceSword.
Подробнее здесь http://virusinfo.info/showthread.php?t=17228
Если опять что-то не понятно, то нужно спросить!
Добавлено через 2 минуты
Базы AVZ не забудьте обновить!
Последний раз редактировалось Синауридзе Александр; 18.09.2008 в 05:35 .
Причина: Добавлено
Junior Member
Вес репутации
57
Сообщение от
Синауридзе Александр
Ни какой Spyware Doctor устанавливать было не нужно!
Именно его предлагалось скачать перейдя по ссылке в 4ом посте данной темы.
Сообщение от
Синауридзе Александр
Базы AVZ не забудьте обновить!
Вчере данная функции в AVZ скаченного из 2ого поста была не активна. Сейчас удалось запустить "полноценный" AVZ предлагаемый вами и успешно обновить его базы.
Сообщение от
Синауридзе Александр
Если опять что-то не понятно, то нужно спросить!
Вы правы.
Файл с помощью IceSword удалил, но предварительно сохранил его в отдельную папку. Что с ним делать?
При выполнении скрипта через AVZ что должно быть выключенно или запущено:
-востановление системы
-Internet Explorer
-интернет/локалка
-антивирус
?
Сообщение от
GAN
Файл с помощью IceSword удалил, но предварительно сохранил его в отдельную папку. Что с ним делать?
Пришлите карантин согласно приложению 2 правил.
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=30351
Сообщение от
GAN
При выполнении скрипта через AVZ что должно быть выключенно или запущено:
-востановление системы
-Internet Explorer
-интернет/локалка
-антивирус
?
Internet Explorer закройте, а остальное отключите. Выполните скрипт V_Bond .
Сделайте новые логи (только п.2 и 3 раздела Диагностика).
Junior Member
Вес репутации
57
В AVZ список карантина пуст. Этот файл у меня в отдельной папке, куда я его сохранил через IceSword.
Изменений пока не заметил.
Вложения
выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('karina.dat','');
QuarantineFile('buritos.exe','');
QuarantineFile('WinCtrl32.dll','');
BC_DeleteSvc('WmiWmiApSrv');
BC_DeleteSvc('W32TimeRpcSsAudioSrvSysmonLog');
BC_DeleteSvc('UPSMONServiceDnscache');
BC_DeleteSvc('ThemesMessengerInCDsrv');
BC_DeleteSvc('ShellHWDetectionwuauservThemesALGNetmandmserverNtmsSvcClipSrvAlerter');
BC_DeleteSvc('SENSCryptSvcATIRemoteAccessaspnet_stateInCDsrvDnscacheRSVPdmadmin');
BC_DeleteSvc('RemoteAccessaspnet_stateTapiSrv');
BC_DeleteSvc('RasManNetDDEdsdmShellHWDetectionwuauserv');
BC_DeleteSvc('RasAutomnmsrvcRSVPdmadminSamSs');
BC_DeleteSvc('RasAutomnmsrvcAudioSrv');
BC_DeleteSvc('RasAutomnmsrvcALGNetmanNtmsSvcBITS');
BC_DeleteSvc('RasAutomnmsrvc');
BC_DeleteSvc('ProtectedStorageDnscacheRSVPdmadminSENSCryptSvcSharedAccess');
BC_DeleteSvc('ProtectedStorageDnscacheRSVPdmadminClipSrvW32TimeRpcSs');
BC_DeleteSvc('ProtectedStorageDnscacheRSVPdmadminClipSrv');
BC_DeleteSvc('ProtectedStorageDnscacheRSVPdmadmin');
BC_DeleteSvc('PolicyAgentsrservice');
BC_DeleteSvc('PolicyAgent LM Service');
BC_DeleteSvc('PnkBstrASpooler');
BC_DeleteSvc('PlugPlayBITSEventlog');
BC_DeleteSvc('NtmsSvcUPSMONService');
BC_DeleteSvc('NtmsSvcBITSEventSystem');
BC_DeleteSvc('NtmsSvcBITS');
BC_DeleteSvc('NtLmSspEventSystemSpooler');
BC_DeleteSvc('NtLmSspEventSystem');
BC_DeleteSvc('NlaUMWdfAlerterNetDDE');
BC_DeleteSvc('NetlogonDhcpEventlogUMWdfAlerter');
BC_DeleteSvc('NetlogonDhcpEventlog');
BC_DeleteSvc('NetlogonDhcp');
BC_DeleteSvc('NetDDERemoteAccessaspnet_state');
BC_DeleteSvc('NetDDEPlugPlay');
BC_DeleteSvc('NetDDEdsdmxmlprovNetDDEdsdm');
BC_DeleteSvc('NetDDEdsdmwinmgmtCiSvc');
BC_DeleteSvc('NetDDEdsdmwinmgmt');
BC_DeleteSvc('NetDDEdsdmTermService');
BC_DeleteSvc('NetDDEdsdmInCDsrvRlanmanworkstation Smart');
BC_DeleteSvc('NetDDEdsdmInCDsrvRlanmanworkstation');
BC_DeleteSvc('NetDDEdsdmAlerterBrowserThemesTermService');
BC_DeleteSvc('AudioSrvRasMan');
BC_DeleteSvc('AtiSQLAgent$SONY_MEDIAMGR');
DeleteFile('WinCtrl32.dll');
DeleteFile('buritos.exe');
DeleteFile('karina.dat');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteRepair(6);
ExecuteRepair(8);
BC_Activate;
RebootWindows(true);
end.
пришлите карантин согласно приложения 2 правил
повторите логи
Junior Member
Вес репутации
57
Рабочий стол и Заставка появились.
Карантин пуст.
Большон спасибо.
А что нужно было сделать с данной ссылкой програмой по ней?
Сообщение от
V_Bond
Вложения
Junior Member
Вес репутации
57
P.S.
Появился "Веб-папки" в "Мой компьютер" которого там с роду не было.
Пофиксить
Код:
O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\
Выполните в AVZ:
Код:
begin
RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
end.
Жалобы есть?
Junior Member
Вес репутации
57
Жалоб нет. Ещё раз большое спасибо.
А насчёт востановления иконок в трее "сетевое подключеие", "подключена флэшка" и "WINDOWS Секюрити" в "Панели управления" (та менюшка где показывается включение/выключение автообновления, брендмаузера и антивируса) можно к вам обратится или это уже в невашей компетенции?
Если метод V_Bond вдруг не сработает попробуйте так: http://virusinfo.info/showthread.php?t=20712 Та должны восстановиться иконки в трее. Нужно так же удостоверится, что напр. в стевых подключенияз включена опция Показывать в трее..
Насчет WSC: У вас какой вид панели управления? Классический , ХР, меню... ?
Пуск/Выполнить, наберите wscui.cpl + ВВОД. Что видите?
Junior Member
Вес репутации
57
Сообщение от
Rene-gad
Если метод V_Bond вдруг не сработает
попробуйте так:
http://virusinfo.info/showthread.php?t=20712 Та должны восстановиться иконки в трее. Нужно так же удостоверится, что напр. в стевых подключенияз включена опция Показывать в трее..
Сделал по обоим методам. Не помогло.
В стевых подключенияз опция "Показывать в трее" включена.
Сообщение от
Rene-gad
Насчет WSC: У вас какой вид панели управления? Классический , ХР, меню... ?
Пуск/Выполнить, наберите wscui.cpl + ВВОД. Что видите?
В меню "Пуск" стоит "Класический вид".
В "Панели управления" в меню "Вид" стоит "Значки". (Делал чтобы как и в Win95/98 отображалось).
Сообщение от
Rene-gad
Пуск/Выполнить, наберите wscui.cpl + ВВОД. Что видите?
То что и хотел - Центр обеспечения безопастности.
Итог лечения
Статистика проведенного лечения:
Получено карантинов: 1 Обработано файлов: 4 В ходе лечения обнаружены вредоносные программы:
c:\\windows\\system32\\buritos.exe - Backdoor.Win32.UltimateDefender.gen (DrWEB: Trojan.Fakealert.1323)