при включении компа виден тока фоновый рисунок...explorer.exe не находит...спасает AVZ восстановление ...вирусняк какойто?
логи прикрепил
при включении компа виден тока фоновый рисунок...explorer.exe не находит...спасает AVZ восстановление ...вирусняк какойто?
логи прикрепил
Последний раз редактировалось tr0nik; 03.09.2009 в 10:29.
Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):
После выполнения скрипта компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(true); QuarantineFile('C:\WINDOWS\system32\csrcs.exe',''); QuarantineFile('digiwet.dll',''); QuarantineFile('crypts.dll',''); QuarantineFile('C:\WINDOWS\system32\sdra64.exe',''); QuarantineFile('C:\Documents and Settings\Buh\Desktop\vfd21-080206\vfd.sys',''); QuarantineFile('C:\WINDOWS\system32\msvcrt57.dll',''); TerminateProcessByName('c:\windows\system32\winagent.exe'); QuarantineFile('c:\windows\system32\winagent.exe',''); TerminateProcessByName('c:\windows\system32\drivers\svchost.exe'); QuarantineFile('c:\windows\system32\drivers\svchost.exe',''); QuarantineFile('c:\dipost\sprintertrayagent.exe',''); QuarantineFile('c:\windows\system32\riodrv.exe',''); TerminateProcessByName('c:\windows\system32\riodrv.exe'); DeleteFile('c:\windows\system32\riodrv.exe'); DeleteFile('c:\windows\system32\drivers\svchost.exe'); DeleteFile('c:\windows\system32\winagent.exe'); DeleteFile('C:\WINDOWS\system32\msvcrt57.dll'); DeleteFile('C:\WINDOWS\system32\sdra64.exe'); DeleteFile('crypts.dll'); DeleteFile('$‘|x8.exe'); DeleteFile('digiwet.dll'); DeleteFile('F:\autorun.inf'); DeleteFile('C:\WINDOWS\system32\csrcs.exe'); DeleteFile('C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\WHYFCT2J\mss8[1].exe'); DeleteFileMask('%Tmp%', '*.*', true); BC_ImportAll; ExecuteSysClean; executeRepair(13); BC_Activate; SetAVZPMStatus(True); RebootWindows(true); end.
После перезагрузки пришлите попавшие в карантин файлы согласно правилам (для отправки файлов следует воспользоваться ссылкой "Прислать запрошенные файлы" над первым сообщением темы).
Сохраните hjT нормально, а не во временной директории.
Пофиксить в HJT (строки могут отсутствовать):
Повторите логи.Код:F2 - REG:system.ini: Shell=Explorer.exe riodrv.exe F2 - REG:system.ini: UserInit=userinit.exe,riodrv.exe,C:\WINDOWS\system32\sdra64.exe, O4 - HKLM\..\Run: [Generic Host for Win32 Services] $‘|x8 O4 - HKLM\..\Run: [svhost] C:\WINDOWS\System32\drivers\svchost.exe O4 - HKLM\..\Run: [Microsoft Internet Agent] c:\windows\system32\winagent.exe O20 - Winlogon Notify: crypt - crypts.dll (file missing)
Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
- Обновите базы АВЗ: (Файл/Обновление баз).
- Отключите ПК от интернета/локалки
- Отключите Антивирус и Файрвол.
- Отключите Системное восстановление.
-Пофиксите:
-Выполните скрипт:Код:F2 - REG:system.ini: Shell=Explorer.exe riodrv.exe F2 - REG:system.ini: UserInit=userinit.exe,riodrv.exe,C:\WINDOWS\system32\sdra64.exe,
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\WHYFCT2J\mss8[1].exe',''); QuarantineFile('C:\WINDOWS\system32\csrcs.exe',''); QuarantineFile('F:\autorun.inf',''); QuarantineFile('$‘|x8.exe',''); QuarantineFile('crypts.dll',''); QuarantineFile('digiwet.dll',''); QuarantineFile('Explorer.exe riodrv.exe',''); QuarantineFile('C:\WINDOWS\system32\msvcrt57.dll',''); QuarantineFile('c:\windows\system32\winagent.exe',''); TerminateProcessByName('c:\windows\system32\winagent.exe'); QuarantineFile('c:\windows\system32\drivers\svchost.exe',''); TerminateProcessByName('c:\windows\system32\drivers\svchost.exe'); QuarantineFile('c:\windows\system32\riodrv.exe',''); TerminateProcessByName('c:\windows\system32\riodrv.exe'); DeleteFile('c:\windows\system32\riodrv.exe'); DeleteFile('c:\windows\system32\drivers\svchost.exe'); DeleteFile('c:\windows\system32\winagent.exe'); DeleteFile('C:\WINDOWS\system32\msvcrt57.dll'); DeleteFile('Explorer.exe riodrv.exe'); DeleteFile('digiwet.dll'); DeleteFile('crypts.dll'); DeleteFile('$‘|x8.exe'); DeleteFile('F:\autorun.inf'); DeleteFile('C:\WINDOWS\system32\csrcs.exe'); DeleteFile('C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\WHYFCT2J\mss8[1].exe'); BC_ImportAll; ExecuteSysClean; BC_Activate; SetAVZPMStatus(True); RebootWindows(true); end.
- Очистите темп-папки, кэш проводников и корзину.
- Очистите файл hosts.
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Повторите в точности действия, описанные в пп.1 - 3 раздела правил Диагностика, новые логи прикрепите к новому сообщению.
Уважаемый(ая) tr0nik, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.