Вот собственно логи.
Вирус нарушил работу:
- не показывает значок ясыковой панели,
- не отображается значек безопасного извлечения USB устройста.
Printable View
Вот собственно логи.
Вирус нарушил работу:
- не показывает значок ясыковой панели,
- не отображается значек безопасного извлечения USB устройста.
Архив с логами не открывается. Прикрепите его еще раз, пожалуйста, и сделайте лог исследования системы (п. 10 правил)
Сорь за долгое отсутствие...
Вот, что просили!
Нет, после такого долгого отсутствия надо все логи сделать заново. Кто там знает, что у вас за два месяца набежало.
профиксить:
[CODE]O2 - BHO: 158117 helper - {427b1fd8-2123-4334-a7d8-7a497363914b} - C:\WINDOWS\system32\158117\158117.dll (file missing)
O2 - BHO: C:\WINDOWS\system32\hdxjd4g.dll - {B5AC49A2-94F2-42BD-F434-2604812C897D} - C:\WINDOWS\system32\hdxjd4g.dll (file missing)
O2 - BHO: C:\WINDOWS\system32\djki397g.dll - {B5AF0562-94F3-42BD-F434-2604812C797D} - C:\WINDOWS\system32\djki397g.dll (file missing)
O2 - BHO: Aero skin - {FFFFFFFF-85A3-452b-B7A8-759AD9B42162} - swin32.dll (file missing)
O20 - Winlogon Notify: winctrl32 - C:\WINDOWS\SYSTEM32\WinCtrl32.dll
O20 - Winlogon Notify: winnt32 - WinNt32.dll (file missing)
[/CODE]
Выполнить скрипт:[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\djki397g.dll','');
QuarantineFile('C:\WINDOWS\system32\hdxjd4g.dll','');
QuarantineFile('C:\WINDOWS\system32\158117\158117.dll','');
QuarantineFile('WinNt32.dll','');
QuarantineFile('C:\WINDOWS\TEMP\winlogon.exe','');
QuarantineFile('C:\WINDOWS\system32\sywtdxaz.sys','');
DeleteService('sywtdxaz');
QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys','');
DeleteService('tcpsr');
DeleteService('pvc41');
QuarantineFile('C:\WINDOWS\System32\Drivers\ipV30.sys','');
DeleteService('ipv30');
QuarantineFile('C:\WINDOWS\System32\Drivers\inT06.sys','');
DeleteService('inT06');
QuarantineFile('C:\WINDOWS\System32\Drivers\gyF28.sys','');
DeleteService('gyf28');
QuarantineFile('C:\WINDOWS\system32\Beep.sys','');
DeleteFile('C:\WINDOWS\System32\Drivers\gyF28.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\inT06.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ipV30.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\pvC41.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Pvc85.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\pwC52.sys');
DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
DeleteFile('C:\WINDOWS\system32\sywtdxaz.sys');
DeleteFile('C:\WINDOWS\TEMP\winlogon.exe');
DeleteFile('WinNt32.dll');
BC_ImportAll;
ExecuteSysClean;
RebootWindows(true);
end.[/CODE]
Сделать новые логи. Загрузить карантин.
Вот.. Карантин тоже выслал.
[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксить[/URL]
[CODE]O17 - HKLM\System\CCS\Services\Tcpip\..\{3B7AC470-0402-4DB4-9EE2-D48A0BD21CD4}: NameServer = 85.255.115.76,85.255.112.167
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.115.76 85.255.112.167
O17 - HKLM\System\CS1\Services\Tcpip\..\{3B7AC470-0402-4DB4-9EE2-D48A0BD21CD4}: NameServer = 85.255.115.76,85.255.112.167
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.115.76 85.255.112.167
O17 - HKLM\System\CS2\Services\Tcpip\..\{3B7AC470-0402-4DB4-9EE2-D48A0BD21CD4}: NameServer = 85.255.115.76,85.255.112.167
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.115.76 85.255.112.167[/CODE]
[URL="http://virusinfo.info/showthread.php?t=7239"]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\pxgdslro.dll');
DeleteFile('C:\WINDOWS\system32\qcoapiso.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
Повторите логи...
Ответ по ЛК:
ipV30.sys - Trojan-Dropper.Win32.Agent.stj
Beep.sys - чистый :)
[QUOTE=PavelA;262117]Ответ по ЛК:
ipV30.sys - Trojan-Dropper.Win32.Agent.stj
Beep.sys - чистый :)[/QUOTE]
Что это значит? Что-то меняет?
Да, вообще-то нет. Просто Beep.sys возможно можно будет восстановить из карантина.
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]9[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\system volume information\\_restore{ef56a841-9910-4b7e-8385-9e9023d4722d}\\rp1\\a0001126.sys - [B]Trojan-Dropper.Win32.Agent.stj[/B][*] c:\\system volume information\\_restore{ef56a841-9910-4b7e-8385-9e9023d4722d}\\rp1\\a0001127.sys - [B]Trojan-Dropper.Win32.Agent.stj[/B][*] c:\\system volume information\\_restore{ef56a841-9910-4b7e-8385-9e9023d4722d}\\rp1\\a0001128.sys - [B]Trojan-Dropper.Win32.Agent.stj[/B][*] c:\\system volume information\\_restore{ef56a841-9910-4b7e-8385-9e9023d4722d}\\rp1\\a0001129.sys - [B]Trojan-Dropper.Win32.Agent.stj[/B][*] c:\\system volume information\\_restore{ef56a841-9910-4b7e-8385-9e9023d4722d}\\rp1\\a0001130.sys - [B]Trojan-Dropper.Win32.Agent.stj[/B][*] c:\\windows\\system32\\drivers\\gyf28.sys - [B]Trojan-Dropper.Win32.Agent.stj[/B][*] c:\\windows\\system32\\drivers\\int06.sys - [B]Trojan-Dropper.Win32.Agent.stj[/B][*] c:\\windows\\system32\\drivers\\ipv30.sys - [B]Trojan-Dropper.Win32.Agent.stj[/B][/LIST][/LIST]