Не открывался эксплоер, проверил нодом всё заработало, но думаю чтото осталось.
AVZ второй скрипт не выполняет комп перезагружаеться, при выполнении, по этому высылаю только один
Printable View
Не открывался эксплоер, проверил нодом всё заработало, но думаю чтото осталось.
AVZ второй скрипт не выполняет комп перезагружаеться, при выполнении, по этому высылаю только один
вот еще HijackThis
[URL="http://mail.ustc.edu.cn/~jfpan/download/IceSword122en.zip"]скачайте [/URL]
меню File - найдите
C:\WINDOWS\system32\Drivers\Rpx53.sys
правой кнопкой мыши - force delete ...
затем выполните скрипт ....
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\windows\system32\svchost.exe:ext.exe:$DATA','');
QuarantineFile('C:\Documents and Settings\Бухгалтер\Local Settings\Application Data\jalak-93-7527615-bali.com','');
QuarantineFile('C:\Program Files\ContentSaver\ContentSaver.dll','');
QuarantineFile('ovrscn.dll','');
QuarantineFile('C:\WINDOWS\system32\n8127\sv711917030r.exe','');
QuarantineFile('C:\WINDOWS\system32\config\systemprofile\Local Settings\Application Data\dv6191700x\yesbron.com','');
QuarantineFile('C:\WINDOWS\j6399722.exe','');
QuarantineFile('C:\WINDOWS\_default39972.pif','');
QuarantineFile('C:\WINDOWS\SOUNDMAN.EXE','');
QuarantineFile('C:\Documents and Settings\Менеджер\Local Settings\Application Data\dv6-709200x\yesbron.com','');
DeleteFile('ovrscn.dll');
DeleteFile('c:\windows\system32\svchost.exe:ext.exe:$DATA');
BC_DeleteSvc('Rpx53');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил...
сделайте полный комплект логов ...
всё сделал
Результат загрузки
Файл сохранён как 080225_035737_virus_47c29111adc0e.zip
Размер файла 434913
MD5 9389e99fb06f5e3d6356b092c63d45be
Файл закачан, спасибо!
[b]Отключите восстановление системы![/b]
Пофиксите в HijackThis:
[code]
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\j6399722.exe
O4 - HKLM\..\Run: [ctfmona] C:\WINDOWS\system32\ctfmona.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Policies\Explorer\Run: [A6423r] "C:\WINDOWS\_default39972.pif"
O4 - HKCU\..\Policies\Explorer\Run: [y-11901Мен] "C:\Documents and Settings\Менеджер\Local Settings\Application Data\dv6-709200x\yesbron.com"
[/code]
Выполните скрипт в AVZ:
[code]
begin
SetAVZGuardStatus(True);
RegKeyParamDel( 'HKEY_USERS', '.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run', 'y3114SYS');
RegKeyParamDel( 'HKEY_USERS', '.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run', 'y3114SYS');
DeleteFile('C:\Documents and Settings\Бухгалтер\Local Settings\Application Data\jalak-93-7527615-bali.com');
DeleteFile('C:\WINDOWS\Tasks\At1.job');
DeleteFile('C:\WINDOWS\Tasks\At2.job');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
ConnectionServices и ContentSaver - это adware, деинсталлируйте их.
Сделайте новые логи, начиная с п.10 правил.
всё сделал
пофиксите ...
[code]
O20 - Winlogon Notify: ovrscn - C:\WINDOWS\
[/code]
выполните скрипт ...
[code]
begin
ExecuteRepair(17);
BC_DeleteSvc('FCI');
BC_Activate;
RebootWindows(true);
end.
[/code]
повторите лог hijackthis
Сделал
в логах чисто ...
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]5[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\program files\\connectionservices\\connectionservices.dll - [B]Trojan.Win32.ConnectionServices.o[/B] (DrWEB: Trojan.BitAcc)[*] c:\\program files\\contentsaver\\contentsaver.dll - [B]not-a-virus:AdWare.Win32.Agent.yw[/B] (DrWEB: Adware.Bho)[*] c:\\system volume information\\_restore{0b0c84ff-2e7e-4bd6-a3db-ac689c821c28}\\rp2\\a0004089.sys - [B]Rootkit.Win32.Agent.aih[/B] (DrWEB: Trojan.Sentinel)[*] c:\\windows\\system32\\svchost.exe:ext.exe:$data - [B]Trojan.Win32.Obfuscated.pf[/B] (DrWEB: BackDoor.Crypt)[/LIST][/LIST]