ДрВеб, в защищенном режиме ничего не находит. следовательно включить браузер не могу
ДрВеб, в защищенном режиме ничего не находит. следовательно включить браузер не могу
Последний раз редактировалось Чижъ; 09.04.2009 в 11:17.
Стандарт:
Профиксить:
Выполнить:Код:F2 - REG:system.ini: UserInit=userinit.exe,C:\WINDOWS\system32\twex.exe, O20 - Winlogon Notify: c0072D15 - C:\WINDOWS\ O20 - Winlogon Notify: mckwave - mckwave.dll (file missing) O20 - Winlogon Notify: sys32 - sys32.dll (file missing) O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\ O20 - Winlogon Notify: winmug32 - winmug32.dll (file missing)
Сделать заново логи.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('T:\Temp\User\2\svchost.exe',''); QuarantineFile('C:\WINDOWS\system32\twex.exe',''); BC_DeleteSvc('Winlq27'); BC_DeleteSvc('Winlq72'); BC_DeleteSvc('Winin26'); QuarantineFile('Winhm72.sys',''); BC_DeleteSvc('Winhm72'); BC_DeleteSvc('Wingl48'); QuarantineFile('C:\WINDOWS\System32\Drivers\Winfk40.sys',''); BC_DeleteSvc('Winfk40'); BC_DeleteSvc('WmiApSrvTrkWks'); BC_DeleteSvc('WmiApSrvAlerter'); BC_DeleteSvc('WmdmPmSNNetDDEdsdmSpooler'); BC_DeleteSvc('WebClientNtmsSvc'); BC_DeleteSvc('UPSSENS'); BC_DeleteSvc('upnphostWmi'); BC_DeleteSvc('SpoolerDhcpRpcSsupnphostWmi'); BC_DeleteSvc('SpoolerDhcpRpcSs'); BC_DeleteSvc('SpoolerDhcp'); BC_DeleteSvc('ShellHWDetectionWmdmPmSN'); BC_DeleteSvc('RemoteAccessRasAuto'); BC_DeleteSvc('RDSessMgrUPS'); BC_DeleteSvc('PolicyAgentWmiApSrv'); BC_DeleteSvc('NlaRpcSsNetDDEwinmgmtTapiSrv'); BC_DeleteSvc('NlaRpcSsNetDDEwinmgmt'); BC_DeleteSvc('NetDDEwinmgmt'); BC_DeleteSvc('NlaRpcSs'); BC_DeleteSvc('NetDDEhelpsvc'); BC_DeleteSvc('NetDDEdsdmSpooler'); BC_DeleteSvc('ImapiServiceTlntSvr'); BC_DeleteSvc('HTTPFilterNetDDEdsdm'); BC_DeleteSvc('helpsvcxmlprov'); BC_DeleteSvc('ERSvcW32Time'); BC_DeleteSvc('dmadminSysmonLog'); BC_DeleteSvc('CryptSvcALG'); QuarantineFile('c:\windows\services.exe',''); DeleteFile('c:\windows\services.exe'); DeleteFile('C:\WINDOWS\System32\Drivers\Winfk40.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Wingl48.sys'); BC_DeleteSvc('Winhm72.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winin26.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winlq27.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winlq72.sys'); DeleteFile('C:\WINDOWS\system32\twex.exe'); DeleteFile('T:\Temp\User\2\svchost.exe'); DeleteFile('C:\Documents and Settings\User\Application Data\Microsoft\Internet Explorer\qipsearchbar.dll'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Загрузить карантин по Правилам через http://virusinfo.info/upload_virus.php?tid=42382
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
сегодня, по надобности, логи повторю быстрее - машинка слабенькая, часа 2-3 сканирует
карантин заслал.
Последний раз редактировалось Чижъ; 09.04.2009 в 11:16.
Фиксим
Что с проблемами?Код:R3 - URLSearchHook: QIPBHO Class - {95289393-33EA-4F8D-B952-483415B9C955} - C:\Documents and Settings\User\Application Data\Microsoft\Internet Explorer\qipsearchbar.dll (file missing) R3 - URLSearchHook: (no name) - - (no file) O2 - BHO: QIPBHO - {95289393-33EA-4F8D-B952-483415B9C955} - C:\Documents and Settings\User\Application Data\Microsoft\Internet Explorer\qipsearchbar.dll (file missing)
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 2
- В ходе лечения обнаружены вредоносные программы:
- c:\windows\services.exe - Email-Worm.Win32.Joleee.jl ( DrWEB: Trojan.Spambot.3584 )
- c:\windows\system32\twex.exe - Trojan-Spy.Win32.Zbot.qfx ( DrWEB: Trojan.PWS.Banker.27318, BitDefender: Trojan.Spy.ZBot.QT )
Рекомендации:
- Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли !
Уважаемый(ая) Чижъ, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.