Junior Member
Вес репутации
57
Веб удаляет один и тот же фаил, глюки в работе системы. [Trojan.Win32.Agent2.bt, Trojan.Win32.Agent.bijt, Trojan-Spy.Win32.Zbot.knr
]
Добрый день.
После удаления фирусов Др.Вебом и Вебовской утилитой Веб находит и после перезагрузки удаляет (переименовывает) один и тот же фаил. Не работает сочетание клавиш crl alt delete, невозможно поменять картинку на рабочем столе.
Видимо, что-то в системе осталось.
Помогите, пожалуйста.
Заранее спасибо.
Не могу прикрепить фаилы (после нажатия на "управление вложениями" появляется окошко Live Search" с просьбой оплатить денежку за удаление новостной ленты).
Как выслать то, что Вам необходимо для работы?
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Junior Member
Вес репутации
57
После перезагрузки получилось. Ура!
Помогите, пожалуйста.
Вложения
Пофиксите в HijackThis:
Код:
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\twext.exe,
O4 - HKLM\..\Run: [services] C:\WINDOWS\services.exe
O4 - HKLM\..\Run: [Framework Windows] frmwrk32.exe
O20 - Winlogon Notify: nymzabjx - C:\WINDOWS\SYSTEM32\nymzabjx.dll
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\windows\system32\svchost.exe:ext.exe:$DATA','');
QuarantineFile('c:\windows\system32\svchost.exe:ext.exe','');
QuarantineFile('mcenspc.dll','');
QuarantineFile('frmwrk32.exe','');
QuarantineFile('C:\WINDOWS\system32\userinit.exe','');
QuarantineFile('C:\WINDOWS\system32\twext.exe','');
QuarantineFile('C:\WINDOWS\system32\digeste.dll','');
QuarantineFile('C:\WINDOWS\System32\Drivers\ati8uaxx.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\ati5uyxx.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\ati4afxx.sys','');
QuarantineFile('C:\WINDOWS\system32\nymzabjx.dll','');
QuarantineFile('C:\WINDOWS\services.exe','');
DeleteFile('C:\WINDOWS\services.exe');
DeleteFile('C:\WINDOWS\system32\nymzabjx.dll');
DeleteFile('C:\WINDOWS\System32\Drivers\ati4afxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati5uyxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati8uaxx.sys');
DeleteFile('C:\WINDOWS\system32\digeste.dll');
DeleteFile('C:\WINDOWS\system32\twext.exe');
DeleteFile('frmwrk32.exe');
DeleteFile('mcenspc.dll');
DeleteFile('c:\windows\system32\svchost.exe:ext.exe:$DATA');
DeleteFile('c:\windows\system32\svchost.exe:ext.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=37518 ).
Сделайте новые логи.
I am not young enough to know everything...
Junior Member
Вес репутации
57
Все, что Вы сказали сделать - сделано.
Архив с карантином отправлен.
Вложения
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\All Users\Application Data\ybtlib.dll','');
DeleteFile('digeste.dll');
DeleteFile('nymzabjx.dll');
DeleteFile('C:\Documents and Settings\All Users\Application Data\ybtlib.dll');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(6);
ExecuteRepair(11);
RebootWindows(true);
end.
Пришлите карантин по правилам и повторите логи...
Junior Member
Вес репутации
57
карантин закачан.
Логи прикреплены
Вложения
Выполните скрипт:
Код:
begin
DelBHO('{92780B25-18CC-41C8-B9BE-3C9C571A8263}');
DelBHO('{2864E778-9116-4DF0-BC25-8AB5E4D3C17C}');
end.
Файл C:\WINDOWS\system32\userinit.exe восстановите из дистрибутива или скопируйте из аналогичной системы.
Сделайте новые логи п.2 и 3 раздела Диагностика.
I am not young enough to know everything...
Junior Member
Вес репутации
57
скрипт выполнен.
фаил заменен.
логи прикреплены.
Вложения
а. userinit.exe опять не родной! Настоящий весит меньше 30k, а у вас 109! Видимо опять пропатчен при попытке заменить.
б. пункт 3 диагностики - это HijackThis.
I am not young enough to know everything...
Junior Member
Вес репутации
57
userinit.exe - после перезагрузки 25К
HijackThis - прикреплен.
Извините за невнимательность.
И огромное спасибо за помощь!
Вложения
Пофиксите в HijackThis:
Код:
O20 - Winlogon Notify: nymzabjx - C:\WINDOWS\
Выполните скрипт в AVZ:
Код:
begin
BC_DeleteSvc('FCI');
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Сделайте - последний раз - логи (только п.2 и 3 раздела Диагностика).
I am not young enough to know everything...
Junior Member
Вес репутации
57
скрипт не выполняется. выдает ошибку:
Ошибка скрипта: '.' expected, позиция [6:1]
Junior Member
Вес репутации
57
После повторной перезагрузки скрпит сработал.
Выкладываю логи п. 3 раздела Диагностика
п. 2 пропускаю - на компе установлен Др.Веб.
Вложения
В логах чисто, установите SP3+all updates...
Junior Member
Вес репутации
57
Итог лечения
Статистика проведенного лечения:
Получено карантинов: 2 Обработано файлов: 9 В ходе лечения обнаружены вредоносные программы:
c:\\windows\\services.exe - Email-Worm.Win32.Joleee.ek c:\\windows\\system32\\digeste.dll - Trojan.Win32.Agent.bijt c:\\windows\\system32\\nymzabjx.dll - Trojan.Win32.Pakes.mrx c:\\windows\\system32\\svchost.exe:ext.exe - Trojan.Win32.Agent2.bt c:\\windows\\system32\\svchost.exe:ext.exe:$data - Trojan.Win32.Agent2.bt c:\\windows\\system32\\twext.exe - Trojan-Spy.Win32.Zbot.knr (DrWEB: Trojan.PWS.Panda.30) c:\\windows\\system32\\userinit.exe - Trojan.Win32.Agent.bikr