Printable View
Здраствуйте уважаемые хэлперы, у меня две проблемы, первая это то что taskmanager после нескольких минут работы запрашивает диск А, избавиться можно, если вставить диск, но минут через 15 дисковод начинает его читать и работа системы тормозиться, раздражает. Вторая проблема иногда броузеры (Opera, IE, Maxthon) закрываются и Microsoft предлагает отправить сообщение об ошибке.
Заранее благодарен.
офиксите ...
[code]
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\drivers\ntndis.exe
F2 - REG:system.ini: UserInit=D:\WINDOWS\system32\userinit.exe,D:\WINDOWS\system32\ntos.exe,
O4 - HKCU\..\Run: [userinit] D:\WINDOWS\system32\ntos.exe
O4 - HKLM\..\Policies\Explorer\Run: [Task] D:\DOCUME~1\85B6~1\taskmgr.exe
O4 - HKCU\..\Policies\Explorer\Run: [Task] D:\DOCUME~1\85B6~1\taskmgr.exe
[/code]
выполните скрипт...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('D:\WINDOWS\system32\wsnpoem\audio.dll','');
QuarantineFile('D:\WINDOWS\system32\wsnpoem\video.dll','');
QuarantineFile('C:\WINDOWS\system32\drivers\ntndis.exe','');
QuarantineFile('D:\WINDOWS\system32\ntos.exe','');
QuarantineFile('D:\DOCUME~1\85B6~1\taskmgr.exe','');
QuarantineFile('\SystemRoot\system32\drivers\tdicf.sys','');
QuarantineFile('Nh.sys','');
QuarantineFile('d:\windows\system32\msvcrtd.exe','');
QuarantineFile('d:\windows\system32\amupdsvc.exe','');
DeleteFile('D:\DOCUME~1\85B6~1\taskmgr.exe');
DeleteFile('D:\WINDOWS\system32\ntos.exe');
DeleteFile('C:\WINDOWS\system32\drivers\ntndis.exe');
BC_ImportAll;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил....
Добрый вечер, сделал все как вы сказали, отослал карантин. К сожалению не могу проверить, получилось или нет, т.к. должен уходить, завтра обязательно отпишусь. Удачи.
Выполните скрипт:
[code]
begin
BC_DeleteSvc('msupdate');
BC_Activate;
RebootWindows(true);
end.[/code]
Сделайте новые логи.
Добрый день, выполнил скрипт, сделал еще одну проверку, прикрепляю логи.
ЗЫ: Запрос диска А больше не появлялся, но броузеры вылетают,пишут, что из-за файла D:\DOCUME~1\85B6~1\LOCALS~1\Temp\25e2_appcompat.txt.
Уже успели новеньких нахватать.
Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('D:\WINDOWS\system32\drivers\tdicf.sys','');
QuarantineFile('D:\WINDOWS\system32\drivers\Nh.sys','');
QuarantineFile('D:\WINDOWS\system32\drivers\tdicf.sys','');
QuarantineFile('D:\WINDOWS\system32\wmimgr32.dll','');
QuarantineFile('D:\WINDOWS\system32\winresponse32.exe','');
QuarantineFile('D:\WINDOWS\system32\win62691.dll','');
QuarantineFile('D:\WINDOWS\system32\amupdsvc.exe','');
QuarantineFile('D:\DOCUME~1\85B6~1\LOCALS~1\Temp\winijtpа.exe','');
QuarantineFile('d:\windows\system32\winresponse32.exe','');
QuarantineFile('d:\docume~1\85b6~1\locals~1\temp\winijtpа.exe','');
QuarantineFile('d:\windows\system32\amupdsvc.exe','');
DeleteFile('d:\windows\system32\amupdsvc.exe');
DeleteFile('d:\docume~1\85b6~1\locals~1\temp\winijtpа.exe');
DeleteFile('d:\windows\system32\winresponse32.exe');
DeleteFile('D:\DOCUME~1\85B6~1\LOCALS~1\Temp\winijtpа.exe');
DeleteFile('D:\WINDOWS\system32\winresponse32.exe');
DeleteFile('D:\WINDOWS\system32\wmimgr32.dll');
DeleteFile('D:\WINDOWS\system32\win62691.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(6);
ExecuteRepair(9);
RebootWindows(true);
end.[/code]
Карантин пришлите по правилам и повторите логи.
Добавил парочку ;)
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]26[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] d:\\windows\\system32\\ntos.exe - [B]Packed.Win32.PolyCrypt.d[/B] (DrWEB: Trojan.Packed.166)[/LIST][/LIST]