Есть подозрение

Printable View

22.03.2008, 14:42
pomy

Есть подозрение

Есть подозрение на вирусы. IE тормозит в сети.
22.03.2008, 15:36
wise-wistful

[b]w32sys6.exe[/b] - поищите при помощи АВЗ, сервис--поиск файлов на диске найдите и пришлите согласно приложения 2 правил.
В хост файл Вы "поэму" записали или Вы ни причём?
22.03.2008, 15:46
pomy

Файл [B]w32sys6.exe[/B] я не нашел. А что за "поэма", я не понял, можно поподробнее.
22.03.2008, 15:55
wise-wistful

Выполните в АВЗ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\w32sys6.exe');
BC_ImportDeletedList;
BC_DeleteSvc('RpcLocatorSchedule');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Повторите логи.
22.03.2008, 16:31
pomy

По-моему ничего не изменилось
22.03.2008, 16:33
wise-wistful

Так знакома Вам эта запись в Хост файле?
22.03.2008, 16:37
pomy

Нет не знакома.

[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]

Нет не знакома. А что надо с ней делать и где она находится.
22.03.2008, 16:43
wise-wistful

Отключите восстановление системы.
Выполните в АВЗ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{A5366673-E8CA-11D3-9CD9-0090271D075B}');
QuarantineFile('C:\Documents and Settings\Администратор\Шаблоны\Brengkolang.com','');
QuarantineFile('C:\WINDOWS\system32\kdecb.exe','');
QuarantineFile('C:\WINDOWS\system32\AccuJetK.sys','');
DeleteFile('C:\WINDOWS\system32\kdecb.exe');
DeleteFile('C:\Documents and Settings\Администратор\Шаблоны\Brengkolang.com');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(13);
BC_Activate;
RebootWindows(true);
end.[/code]
Загрузите карантин согласно приложения 3 правил..
Повторите логи...
22.03.2008, 17:14
pomy

Посмотрите
22.03.2008, 17:52
wise-wistful

Панель управления - Назначенные задания. Там удалить задание по имени At1, которое запускает (запускало) ныне покойный Brengkolang.com.
После этого выполните в АВЗ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('kdecb.exe','');
DeleteFile('C:\WINDOWS\system32\kdecb.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Загрузите карантин согласно приложения 3 правил.
Повторите логи.
22.03.2008, 19:57
pomy

Сделал все, как сказали.
22.03.2008, 20:13
wise-wistful

н-да. Попробуйте так.
[code]begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('kdecb.exe');
DeleteFile('C:\WINDOWS\system32\kdecb.exe');
DelWinlogonNotifyByFileName('kdecb.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Повторите логи.
22.03.2008, 20:36
pomy

Вот смотрите
22.03.2008, 20:48
wise-wistful

Хух. Искоренили.
22.03.2008, 21:34
pomy

А вот это что?

Функция NtCreateKey (29) перехвачена (80622048->BA6AA0E0), перехватчик spub.sys
Функция NtEnumerateKey (47) перехвачена (80622888->BA6C7CA2), перехватчик spub.sys
Функция NtEnumerateValueKey (49) перехвачена (80622AF2->BA6C8030), перехватчик spub.sys
Функция NtOpenKey (77) перехвачена (806233DE->BA6AA0C0), перехватчик spub.sys
Функция NtQueryKey (A0) перехвачена (80623702->BA6C8108), перехватчик spub.sys
Функция NtQueryValueKey (B1) перехвачена (80620102->BA6C7F88), перехватчик spub.sys
Функция NtSetValueKey (F7) перехвачена (80620708->BA6C819A), перехватчик spub.sys

9. Мастер поиска и устранения проблем
>> Разрешен автозапуск с HDD
>> Разрешен автозапуск с сетевых дисков
>> Разрешен автозапуск со сменных носителей
22.03.2008, 21:36
wise-wistful

spub.sys - это от диамона\алкоголя.

[code]>> Разрешен автозапуск с HDD
>> Разрешен автозапуск с сетевых дисков
>> Разрешен автозапуск со сменных носителей[/code]
Это решается через АВЗ файл-Мастер поиска и устранения проблем.