Проблема возникла, просьба о помощи. Спасибо
Printable View
Проблема возникла, просьба о помощи. Спасибо
сообщение можно удалить. ждать не могу придётся сделать переустановку системы
Если еще не начал переустановку, то могу выложить скрипт.
Наловлено очень много зверья, как второй вариант я бы посоветовал скачать AVPTool и провериться по полной программе.
[size="1"][color="#666686"][B][I]Добавлено через 7 минут[/I][/B][/color][/size]
Скрипт вот:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\Temp\soc.exe','');
QuarantineFile('C:\WINDOWS\system32\wm5dap.dll','');
QuarantineFile('C:\WINDOWS\system32\drivers\services.exe','');
QuarantineFile('C:\Documents and Settings\user\Рабочий стол\.//..//win.exe','');
QuarantineFile('C:\Documents and Settings\user\Главное меню\Программы\Автозагрузка\userinit.exe','');
QuarantineFile('C:\Documents and Settings\user\svchost.exe','');
QuarantineFile('C:\DOCUME~1\user\LOCALS~1\Temp\winlogon.exe','');
DeleteService('Winaf83');
DeleteService('Swb83');
DeleteService('Swb48');
DeleteService('Rva26');
QuarantineFile('C:\WINDOWS\System32\Drivers\Nrv72.sys','');
DeleteService('Nrv72');
QuarantineFile('C:\WINDOWS\system32\Drivers\i1.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Ejn62.sys','');
DeleteService('Ejn62');
QuarantineFile('C:\WINDOWS\system32\1031n.exe','');
DeleteService('DnscacheFastUserSwitchingCompatibility');
QuarantineFile('c:\documents and settings\user\svchost.exe','');
DeleteFile('c:\documents and settings\user\svchost.exe');
DeleteFile('C:\WINDOWS\system32\1031n.exe');
DeleteFile('C:\WINDOWS\System32\Drivers\Ejn62.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Nrv72.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Rva26.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Swb48.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Swb83.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winaf83.sys');
DeleteFile('C:\DOCUME~1\user\LOCALS~1\Temp\winlogon.exe');
DeleteFile('C:\Documents and Settings\user\svchost.exe');
DeleteFile('C:\Documents and Settings\user\Главное меню\Программы\Автозагрузка\userinit.exe');
DeleteFile('C:\Documents and Settings\user\Рабочий стол\.//..//win.exe');
DeleteFile('C:\WINDOWS\system32\drivers\services.exe');
DeleteFile('C:\WINDOWS\system32\wm5dap.dll');
DeleteFile('C:\WINDOWS\Temp\soc.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
После него станд. действия: новые логи и загрузка карантина.
На время выполнения скриптов, отключитесь от сети и отключите антивирусный монитор (у вас, кроме DrWeb, виден еще какой-то странный вариант Касперского, если он с резидентным монитором, то его следует тоже отключить).
Перед выполнением скрипта от PavelA, пофиксите с помощью Hijackthis строчки: [code]R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = C:\WINDOWS\system32\spywarewarning.mht
O4 - HKLM\..\Run: [advap32] "C:\Documents and Settings\user\Рабочий стол\.//..//win.exe" /r
O4 - HKLM\..\Run: [winlogon] C:\Documents and Settings\user\svchost.exe
O4 - HKLM\..\Run: [IEUpdate] C:\WINDOWS\system32\ACDVn.exe
O4 - HKLM\..\Run: [[system]] C:\WINDOWS\system32\drivers\services.exe
O4 - HKLM\..\RunServices: [IEUpdate] C:\WINDOWS\system32\ACDVn.exe
O4 - HKCU\..\Run: [Firewall auto setup] C:\DOCUME~1\user\LOCALS~1\Temp\winlogon.exe
O4 - HKCU\..\Run: [winlogon] C:\Documents and Settings\user\svchost.exe
O4 - HKCU\..\Run: [IEUpdate] C:\WINDOWS\system32\ACDVn.exe
O4 - HKCU\..\Run: [[system]] C:\WINDOWS\system32\drivers\services.exe
O4 - HKCU\..\RunServices: [IEUpdate] C:\WINDOWS\system32\ACDVn.exe
O4 - Startup: userinit.exe
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - (no file)
O20 - Winlogon Notify: NavLogon - C:\WINDOWS\
O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\
O21 - SSODL: oledll - {12345B67-1234-1234-D123-7F84D123BC7D} - C:\WINDOWS\system32\wm5dap.dll[/code]
спасибо. Комп у дизайнера, а ему надо срочно работать. Поэтому я даже систему не переустановил, оставил как есть. Как освободиться комп, займусь по вашим рекомендациям. Спасибо за помощь. И ещё, этот комп в сетке, опасность заражения других компов велика? на всех компах стоит drweb 4.44 корпоратив.