Скрипты выполнил. систему очистил. вроде все гуд......мин через5 опять началось :(
Printable View
Скрипты выполнил. систему очистил. вроде все гуд......мин через5 опять началось :(
Выполнил проверку Курей. нашел и удалил 2 файла. Гляньте логи плз.
Скачайте [url=http://mail.ustc.edu.cn/~jfpan/download/IceSword122en.zip]IceSword[/url].
Запустите его, внизу слева выберите меню File.
Появится аналог проводника. Найдите в нем файл C:\WINDOWS\system32\Drivers\Wdh50.sys и если есть - сначала скопируйте его куда хотите при помощи Copy to..., чтобы прислать нам, а потом удалите с помощью force delete (нажмите по нему правой кнопкой мыши и выберите force delete, на запрос подтверждения ответьте "да").
Потом [url=http://virusinfo.info/showthread.php?t=7239]выполните скрипт в AVZ[/url]:
[code]begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\winshost.exe','');
QuarantineFile('C:\WINDOWS\system32\userinit.exe','');
QuarantineFile('C:\WINDOWS\system32\kdfqo.exe','');
QuarantineFile('C:\WINDOWS\msvecurity.exe','');
QuarantineFile('C:\WINDOWS\iexplorer.exe','');
QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys','');
QuarantineFile('C:\Program Files\Common Files\ACD Systems\PlugIns\FotoSlate.exe','');
QuarantineFile('C:\WINDOWS\system32\Drivers\Wdh50.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\aec.sys','');
DeleteFile('C:\WINDOWS\system32\Drivers\Wdh50.sys');
DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
DeleteFile('C:\WINDOWS\iexplorer.exe');
DeleteFile('C:\WINDOWS\msvecurity.exe');
DeleteFile('C:\WINDOWS\system32\kdfqo.exe');
DeleteFile('C:\WINDOWS\system32\winshost.exe');
DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
DeleteFile('C:\WINDOWS\system32\WinCtrl32.dl_');
DelWinlogonNotifyByKeyName('WinCtrl32');
BC_ImportALL;
SysCleanAddFile('kdfqo.exe');
ExecuteSysClean;
BC_DeleteSvc('tcpsr');
BC_DeleteSvc('Wdh50');
BC_Activate;
ExecuteRepair(6);
ExecuteRepair(8);
ExecuteRepair(5);
RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению №3 [url=http://virusinfo.info/showthread.php?t=1235]правил[/url] (загружать здесь: [url]http://virusinfo.info/upload_virus.php?tid=25703[/url] ).
AVZ => Файл => Мастер поиска и устранения проблем. Категория проблемы - поставьте "Системные проблемы", степень опасности - "Все проблемы". Нажмите "Пуск". Всё найденное следует пометить и исправить. Данную операцию повторить для категории "Настройки и твики браузера".
Очистите временные папки и кеш браузера.
Замените C:\WINDOWS\system32\userinit.exe на чистый из дистрибутива или с чистой машины (замену лучше проводить из Консоли Восстановления).
Сделайте новые логи.
сделал все как написали.
Wdh50.sys нету такого файла ....
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]1[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\kdfqo.exe - [B]Trojan.Win32.Monder.gen[/B] (DrWEB: Trojan.Virtumod.based.22)[/LIST][/LIST]