После лечения CureIt-ом и ручного удаления файла winnt32.dll из C:\Windows\System32 не устанавливаются базы DrWeb, не работает AVZ. AVZ был запущен после загрузки с помощью диска BartPE. HijackThis был запущен на зараженной системе.
Printable View
После лечения CureIt-ом и ручного удаления файла winnt32.dll из C:\Windows\System32 не устанавливаются базы DrWeb, не работает AVZ. AVZ был запущен после загрузки с помощью диска BartPE. HijackThis был запущен на зараженной системе.
Выполните отсюда [url]http://virusinfo.info/showthread.php?t=15927[/url] пункт 1 полностью. Если не поможет, то пункт 2.
Спасибо. Помог 1-й пункт. А конкретнее - запуск [URL="ftp://ftp.drweb.com/pub/drweb/cureit/setup.exe"]CureIT![/URL] с CD. Сначала был убит вирус в защищенном режиме, затем в нормальном. Вирусы были PWS.GoldSpy.2169 и NtRootKit.1199 в файлах C:\Windows\System32\datmps.dll и C:\Windows\System32\wlite.sys. После лечения установились базы DrWeb.
сделайте новые логи ....
Новые логи
пофиксите ...
[code]
O20 - Winlogon Notify: WinNt32 - WinNt32.dll (file missing)
[/code]
выполните скрипт ...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('WinNt32.dll','');
BC_DeleteSvc('Dsk14');
QuarantineFile('C:\WINDOWS\System32\Drivers\Dsk14.sys','');
DeleteFile('C:\WINDOWS\System32\Drivers\Dsk14.sys');
DeleteFile('WinNt32.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил ...
повторите логи ...
PWS.GoldSpy.2169 - надо будет менять пароли. Они могли уйти на сторону.
Пофиксил O20 - Winlogon Notify: WinNt32 - WinNt32.dll (file missing).
Выполнил скрипт - карантин пустой, поэтому не высылаю.
Новые логи прикладываю.
в логах ничего зловредного ...
Спасибо за помощь.