Выкладываю логи по второму "больному"...опять - таки позволяли сделать их только в безопасном режиме.
Printable View
Выкладываю логи по второму "больному"...опять - таки позволяли сделать их только в безопасном режиме.
Выполните скрипт в AVZ:
[code]
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
StopService('Lqv84');
SetServiceStart('Lqv84', 4);
StopService('Esb47');
SetServiceStart('Esb47', 4);
QuarantineFile('C:\Documents and Settings\Радкевич\Local Settings\Temp\29.tmp','');
QuarantineFile('C:\WINDOWS\Temp\arm3AF3.tmp','');
QuarantineFile('C:\WINDOWS\Temp\arm67B.tmp','');
QuarantineFile('C:\WINDOWS\Temp\arm6B18.tmp','');
QuarantineFile('C:\WINDOWS\system32\drivers\Esb47.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\symavc32.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\runtime2.sys','');
QuarantineFile('C:\Program Files\RuPass\RuPass.dll','');
QuarantineFile('C:\Program Files\system101\system101.dll','');
QuarantineFile('C:\WINDOWS\system32\search32.dll','');
QuarantineFile('C:\WINDOWS\mmall.exe','');
QuarantineFile('C:\WINDOWS\Temp\startdrv.exe','');
QuarantineFile('c:\windows\system32\mssrv32.exe','');
QuarantineFile('C:\WINDOWS\system32\Drivers\Lqv84.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\Esb47.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\ctl_w32.sys','');
QuarantineFile('C:\Documents and Settings\All Users\Документы\Settings\arm32.dll','');
DeleteFile('C:\Documents and Settings\All Users\Документы\Settings\arm32.dll');
DeleteFile('C:\WINDOWS\system32\drivers\ctl_w32.sys');
DeleteFile('C:\WINDOWS\system32\Drivers\Esb47.sys');
DeleteFile('C:\WINDOWS\system32\Drivers\Lqv84.sys');
DeleteFile('c:\windows\system32\mssrv32.exe');
DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
DeleteFile('C:\WINDOWS\mmall.exe');
DeleteFile('C:\WINDOWS\system32\search32.dll');
DeleteFile('C:\Program Files\system101\system101.dll');
DeleteFile('C:\WINDOWS\system32\drivers\runtime2.sys');
DeleteFile('C:\WINDOWS\system32\drivers\symavc32.sys');
DeleteFile('C:\WINDOWS\system32\drivers\Esb47.sys');
DeleteFile('C:\WINDOWS\Temp\arm6B18.tmp');
DeleteFile('C:\WINDOWS\Temp\arm67B.tmp');
DeleteFile('C:\WINDOWS\Temp\arm3AF3.tmp');
DelBHO('{954A0637-9147-4b5e-964E-9F20E58FC29D}');
DelBHO('{4B5A7560-16C6-4063-86D3-000000000002}');
BC_ImportALL;
BC_DeleteSvc('smtpdrv');
BC_DeleteSvc('Lqv84');
BC_DeleteSvc('Esb47');
BC_DeleteSvc('ctl_w32');
BC_DeleteSvc('msupdate');
ExecuteSysClean;
BC_Activate;
end.[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: [url]http://virusinfo.info/upload_virus.php?tid=17455[/url]).
Очистите полностью папку C:\Documents and Settings\Радкевич\Local Settings\Temp.
Сделайте новые логи.
Повторяю логи. Карантин выслала.
ConnectionServices - деинсталировать ...
пофиксите ...
[code]
F3 - REG:win.ini: run=C:\WINDOWS\mmall.exe
O4 - HKLM\..\Run: [startdrv] C:\WINDOWS\Temp\startdrv.exe
O4 - HKCU\..\Run: [Microsoft all2] C:\WINDOWS\mmall2.exe
O4 - HKCU\..\Run: [Microsoft all] C:\WINDOWS\mmall.exe
O9 - Extra button: (no name) - {4B5A7560-16C6-4063-86D3-000000000003} - C:\Program Files\system101\system101.dll (file missing)
O9 - Extra 'Tools' menuitem: Блокировка всплывающих окон - {4B5A7560-16C6-4063-86D3-000000000003} - C:\Program Files\system101\system101.dll (file missing)
O20 - Winlogon Notify: arm32reg - C:\WINDOWS\
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\
[/code]
hijackthis.log - повторите ...
Лог hijack
все чисто ...
:) Большое спасибо.