Есть основания считать, что не все вылечил
Есть основания считать, что не все вылечил
Последний раз редактировалось ascodts; 10.06.2009 в 03:25.
Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
-Пофиксите
- Выполните скриптКод:F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\twex.exe,
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\twex.exe',''); QuarantineFile('C:\WINDOWS\system32\mssrv32.exe',''); QuarantineFile('C:\WINDOWS\system32\winset.exe',''); QuarantineFile('c:\windows\system32\svchost.exe',''); DeleteFile('C:\WINDOWS\system32\winset.exe'); DeleteFile('C:\WINDOWS\system32\mssrv32.exe'); DeleteFile('C:\WINDOWS\system32\twex.exe'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
-c:\windows\system32\svchost.exe судя по всему патченный. Замените в консоли восстановления из дистрибутива или возьмите на другой системе (д.б. СП3 и Винда соотв. Home или Pro).
- Удалите Bonjour
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи
virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
Есть одно затруднение - в обычном режиме не запускаются многие программы. Причем не все, например regedit работает и TotalCommander тоже, а вот mmc или avz нет, причем сколько не переиминовываю - не помогает. (кстати ccleaner установился и отработал) видимо из-за этого в десктоп попадаю через раз, то откроется, а то черный экран (фон стола черный) с бегающим курсором мыши.
Добавлено через 24 минуты
Кстати в первые секунды как открылся десктоп удается запустить mmc, но потом происходит какой-то клин, проводник (правой кнопкой например на корзину) запустить удается, но при выборе любого из дисков справа пусто и проводник зависает
Последний раз редактировалось ascodts; 07.05.2009 в 09:56. Причина: Добавлено
Я ее обманул - Каспера удалил, а IE и AVZ засунул в Автозагрузку
Давайте логи...
Вот логи и карантин
Последний раз редактировалось ascodts; 10.06.2009 в 03:26.
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Пришлите карантин по правилам и повторите логи...Код:begin ClearQuarantine; SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\drivers\sfc.sys ',' '); DeleteFile('C:\WINDOWS\system32\drivers\sfc.sys '); RenameFile('C:\WINDOWS\System32\sfcfiles.dll', 'C:\WINDOWS\System32\sfcfiles.bak'); CopyFile('C:\WINDOWS\System32\dllcache\sfcfiles.dll','C:\WINDOWS\System32\sfcfiles.dll'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Карантин и новые логи (почему-то hijackthis.log не захотел вкладываться)
Последний раз редактировалось ascodts; 10.06.2009 в 03:26.
В логах чисто...
Хотел запустить sfc - ругается, мол недоступен сервер RPC. В эвентах висит незапуск IPSEC - не найден файл, а какой не пишет. При попытке открыть в gpedit Конфигурация Windows->Параметры безопасности :
Ошибка открытия хранилища политик IPSEC: Не удается открыть указанный файл (80070002) и опять ни слова что за файл
С IPSEC разобрался - отсутствовала напроч ветка в реестре, поиском в инете нашел команду regsrv32 polstore.dll - она все восстановила. Автор поста про нее предупреждал о необходимости сохранить соотв. ветку в реестре (я полез смотреть и не обнаружил ее вообще, после работы команды все появилось).
Остался неприятный эффект - после загрузки минут 10-15 не работает панель задач и продолжает глючить проводник. Потом все проходит и все работает. Как вычислить чем ее клинит? В эвент-логах:
Служба обнаружения SSDP является зависимой от несуществующей службы HTTP
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 17
- В ходе лечения обнаружены вредоносные программы:
- c:\windows\system32\mssrv32.exe - Trojan-PSW.Win32.WebMoner.ex
- c:\windows\system32\twex.exe - Trojan-Spy.Win32.Zbot.tdz ( DrWEB: Trojan.PWS.Panda.106, BitDefender: Gen:Trojan.Heur.Dropper.31629D9D9D )
Рекомендации:
- Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли !
Уважаемый(ая) ascodts, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.