Printable View
Добрый день!
Ситуация следующая - большинство программ не запускается,антивирусные программы не устанавливаются ,drweb установленный до этого вылетел,на рабочем столе не меняющаяся заставка - Spyware detected on your computer....
Компютер грузится с третьего раза , при загрузке выходит синий экрна смерти...
[b]Отключите восстановление системы![/b]
Пофиксите в HijackThis:
[code]
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\drivers\services.exe,C:\WINDOWS\system32\ntos.exe,
O2 - BHO: Std plugin - {096059FD-99AB-41eb-9E55-59AEB0A3B444} - haskel32.dll (file missing)
O4 - HKLM\..\Run: [winlogon] C:\Documents and Settings\User\svchost.exe
O4 - HKLM\..\Run: [lphcjlnj0e911] C:\WINDOWS\system32\lphcjlnj0e911.exe
O4 - HKLM\..\Run: [[system]] C:\WINDOWS\system32\drivers\services.exe
O4 - HKCU\..\Run: [userinit] C:\WINDOWS\system32\ntos.exe
O4 - HKCU\..\Run: [[system]] C:\WINDOWS\system32\drivers\services.exe
O4 - HKCU\..\Run: [winlogon] C:\Documents and Settings\User\svchost.exe
O4 - HKUS\S-1-5-18\..\Run: [winlogon] C:\Documents and Settings\LocalService\svchost.exe (User 'SYSTEM')
O4 - Startup: userinit.exe
[/code]
Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\userinit.exe','');
QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
QuarantineFile('C:\WINDOWS\system32\blphcjlnj0e911.scr','');
QuarantineFile('C:\Documents and Settings\LocalService\svchost.exe','');
QuarantineFile('C:\WINDOWS\system32\lphcjlnj0e911.exe','');
QuarantineFile('C:\WINDOWS\system32\explorer.dll','');
QuarantineFile('C:\WINDOWS\system32\drivers\services.exe','');
QuarantineFile('C:\Documents and Settings\User\Главное меню\Программы\Автозагрузка\userinit.exe','');
QuarantineFile('C:\Documents and Settings\User\svchost.exe','');
QuarantineFile('C:\Documents and Settings\User\explorer.dll','');
DeleteFile('C:\Documents and Settings\User\explorer.dll');
DeleteFile('C:\Documents and Settings\User\svchost.exe');
DeleteFile('C:\Documents and Settings\User\Главное меню\Программы\Автозагрузка\userinit.exe');
DeleteFile('C:\WINDOWS\system32\drivers\services.exe');
DeleteFile('C:\WINDOWS\system32\explorer.dll');
DeleteFile('C:\WINDOWS\system32\lphcjlnj0e911.exe');
DeleteFile('C:\Documents and Settings\LocalService\svchost.exe');
DeleteFile('C:\WINDOWS\system32\blphcjlnj0e911.scr');
DeleteFile('C:\WINDOWS\system32\ntos.exe');
BC_ImportDeletedList;
BC_DeleteSvc('Wintn22');
BC_DeleteSvc('Winpp44');
BC_DeleteSvc('Winiu22');
BC_DeleteSvc('Wincm11');
BC_DeleteSvc('tcpsr');
BC_DeleteSvc('Rwf11');
BC_DeleteSvc('Mwv33');
BC_DeleteSvc('Jjr44');
BC_DeleteSvc('catchme');
BC_DeleteSvc('Schedule');
ExecuteSysClean;
ExecuteRepair(1);
ExecuteRepair(13);
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: [url]http://virusinfo.info/upload_virus.php?tid=24679[/url]).
У вас старая версия AVZ, скачайте 4.30 и обновите ее базы.
Сделайте новые логи.
Спасибо.
Карантин выслал, AVZ обновил.
Заставка так и не меняется.
C:\WINDOWS\system32\userinit.exe - [B]Trojan-Downloader.Win32.agent.nzo[/B] _ нужно заменить на чистый ...
Заменить на чистый, это значит скопировать с другой системы?
И еще вопрос - При попытке установить KIS 7 сигналит о том что установлен Dr.Web и требует перезагрузки, хотя все упоминания о доктор вебе вроде удалены
1 да можно заменить на чистый из другой системы ...
2 насчет [URL="http://virusinfo.info/showthread.php?t=16646"]удаления антивирусов[/URL] ....
[quote=Пушистый;241524]Заставка так и не меняется.[/quote]
Выполните такой скрипт:
[code]
begin
ExecuteRepair(5);
ExecuteRepair(6);
ExecuteRepair(8);
RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
RebootWindows(true);
end.[/code]