Не полная загрузка

[Alex_kaa]

Похоже на вирус, загружается винда, но ни панели задач с кнопкой "Пуск", ни ярлыков рабочего стола нет. В безопасном режиме та же история. Через Диспетчера задач запустил AVZ и сделал логи. Посмотрите плиз

[Гриша]

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\System32\Drivers\sfc.SYS','');
 DeleteFile('C:\WINDOWS\System32\Drivers\sfc.SYS');
 QuarantineFile('C:\WINDOWS\system32\alsndmgrn.exe','');
 QuarantineFile('C:\WINDOWS\svzip.exe','');
 QuarantineFile('C:\WINDOWS\svhoster.exe','');
 QuarantineFile('C:\WINDOWS\TEMP\wndutl32.dll','');
 QuarantineFile('C:\WINDOWS\System32\rs32net.exe','');
 QuarantineFile('C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\G167G9EN\erg[1].exe ',' ');
 DeleteFile('C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\G167G9EN\erg[1].exe ');
 QuarantineFile('C:\Program Files\Microsoft Common\wuauclt.exe ',' ');
 DeleteFile('C:\Program Files\Microsoft Common\wuauclt.exe ');
 DeleteService('ati2cjxx');
 QuarantineFile('C:\WINDOWS\System32\Drivers\ati2cjxx.sys','');
 QuarantineFile('C:\WINDOWS\TEMP\Ui3vUmWj.sys','');
 DeleteFile('C:\WINDOWS\TEMP\Ui3vUmWj.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\ati2cjxx.sys');
 DeleteFile('C:\WINDOWS\System32\rs32net.exe');
 DeleteFile('C:\WINDOWS\svhoster.exe');
 DeleteFile('C:\WINDOWS\svzip.exe');
 DeleteFile('C:\WINDOWS\system32\alsndmgrn.exe');
 DeleteFile('mcenspc.dll');
 RenameFile('C:\WINDOWS\System32\sfcfiles.dll', 'C:\WINDOWS\System32\sfcfiles.bak');
 CopyFile('C:\WINDOWS\System32\dllcache\sfcfiles.dll','C:\WINDOWS\System32\sfcfiles.dll');
 DeleteFileMask('%tmp% ','*.* ',true );
BC_ImportALL;
ExecuteSysClean;
BC_DeleteSvc('ati2cjxx');
BC_Activate;
ExecuteRepair(6);
ExecuteRepair(9);
RebootWindows(true);
end.

Пришлите карантин по правилам и повторите логи...

[Alex_kaa]

Рабочий стол появился, карантин отправил, логи есть.

[Гриша]

Пофиксить

Код:

O4 - HKLM\..\Run: [UpdateWin] C:\WINDOWS\system32\alsndmgrn.exe
O4 - HKLM\..\Run: [netzip] C:\WINDOWS\svzip.exe
O4 - HKLM\..\Run: [net64] C:\WINDOWS\svhoster.exe
O4 - HKLM\..\Run: [rs32net] C:\WINDOWS\System32\rs32net.exe
O4 - HKCU\..\Run: [UpdateWin] C:\WINDOWS\system32\alsndmgrn.exe
O4 - HKCU\..\Run: [14006647277176550082396183635660] C:\Program Files\Antivirus 2009\av2009.exe
O22 - SharedTaskScheduler: IPC Configuration Utility - IPC Configuration Utility - (no file)
O22 - SharedTaskScheduler: Windows Installer Class - {020487CC-FC04-4B1E-863F-D9801796230B} - C:\WINDOWS\TEMP\wndutl32.dll (file missing)

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:

begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\Program Files\Antivirus 2009\av2009.exe','');
 DeleteFile('C:\Program Files\Antivirus 2009\av2009.exe');
 DeleteFile('C:\WINDOWS\System32\rs32net.exe');
 DeleteFile('C:\WINDOWS\TEMP\wndutl32.dll');
 DeleteFile('C:\WINDOWS\svhoster.exe');
 DeleteFile('C:\WINDOWS\svzip.exe');
 DeleteFile('C:\WINDOWS\system32\alsndmgrn.exe');
 DeleteFileMask('%tmp% ','*.* ',true );
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Пришлите карантин по правилам и повторите логи...

[Alex_kaa]

готово

[Гриша]

В логах чисто, установите SP3+all updates...

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 2
• Обработано файлов: 23
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\windows\system32\config\systemprofile\local settings\temporary internet files\content.ie5\g167g9en\erg[1].exe - Trojan.Win32.Agent2.enj