Самовольно закрываются окна Iternet Explorer. CureIt в режиме Safe mode ничего не находит. Логи прилагаются. Заранее спасибо.
Printable View
Самовольно закрываются окна Iternet Explorer. CureIt в режиме Safe mode ничего не находит. Логи прилагаются. Заранее спасибо.
Отключите антивирус и интернет!Выполнять в обычном режиме...
[URL="http://virusinfo.info/showthread.php?t=7239"]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\userinit.exe','');
QuarantineFile('C:\WINDOWS\system32\mrcmgr.exe','');
QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
DeleteService('Winyt28');
DeleteService('Winyj32');
DeleteService('Winye24');
DeleteService('Winth10');
DeleteService('Winrw86');
DeleteService('Winkp84');
DeleteService('Winjt63');
DeleteService('Winig20');
DeleteService('Wincr78');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winyt28.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winyj32.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winye24.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winth10.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winrw86.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winkp84.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winjt63.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winig20.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Wincr78.sys','');
DeleteService('Ryo37');
QuarantineFile('C:\WINDOWS\System32\Drivers\Ryo37.sys','');
QuarantineFile('srv.exe','');
DeleteService('WZCSVCwscsvc');
DeleteService('wuauservDcomLaunch');
DeleteService('SENSUPS');
DeleteService('RasAutoPolicyAgentSENS');
DeleteService('PolicyAgentSENS');
DeleteService('MessengerhelpsvcWZCSVC');
DeleteService('ImapiServiceRpcLocator');
DeleteService('IDriverTRpcSs');
DeleteService('helpsvcWZCSVC');
DeleteService('ClipSrvMSDTC');
DeleteFile('srv.exe');
DeleteFile('C:\WINDOWS\System32\Drivers\Ryo37.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Wincr78.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winig20.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winjt63.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winkp84.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winrw86.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winth10.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winye24.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winyj32.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winyt28.sys');
DeleteFile('C:\WINDOWS\system32\ntos.exe');
DeleteFile('C:\WINDOWS\system32\mrcmgr.exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
Пришлите карантин по правилам и повторите логи...
Новые логи
Обновите Hijackthis по ссылке в правилах.
Выполните скрипт
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('Ryo37');
QuarantineFile('C:\Documents and Settings\A\DoctorWeb\Quarantine\prxsmr.dll','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Ryo37.sys','');
QuarantineFile('C:\WINDOWS\system32\userinit.exe','');
DeleteFile('C:\WINDOWS\System32\Drivers\Ryo37.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('Ryo37');
BC_Activate;
RebootWindows(true);
end.[/CODE]
Закачайте карантин по правилам.
Повторите 3 лога.
Готово. Правда, окно сейчас опять закрылось...
C:\WINDOWS\system32\userinit.exe - нужно заменить на чистый (из дистрибутива ) или такой же операциоки ...
повторите логи ...
Ну вот, наконец готово...
В логах чисто. Сервис Пак 3 нужно ставить.
Спасибо всем, кто принял живое участие в решении проблемы. Respect. Удачи.
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]64[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\documents and settings\\a\\doctorweb\\quarantine\\prxsmr.dll - [B]not-a-virus:AdWare.Win32.Agent.dfo[/B] (DrWEB: Trojan.Proxy.3745)[*] c:\\windows\\system32\\mrcmgr.exe - [B]Trojan-Banker.Win32.Banker.rqk[/B] (DrWEB: Trojan.PWS.GoldSpy.2226)[*] c:\\windows\\system32\\ntos.exe - [B]Trojan-Spy.Win32.Zbot.dmq[/B] (DrWEB: Trojan.Proxy.2003)[*] c:\\windows\\system32\\userinit.exe - [B]Trojan-Downloader.Win32.Agent.xyc[/B] (DrWEB: Trojan.DownLoad.3420)[/LIST][/LIST]