Как и у большинства - на синем фоне Install an antivirus or spyware remover to clean your computer. В свойствах рабочего стола пропали вкладки Рабочий стол и Заставка. Может еще чего попортилось :(.
Printable View
Как и у большинства - на синем фоне Install an antivirus or spyware remover to clean your computer. В свойствах рабочего стола пропали вкладки Рабочий стол и Заставка. Может еще чего попортилось :(.
ConnectionServices - деинсталировать
[URL="http://www.majorgeeks.com/downloadget.php?id=5199&file=15&evp=0d36c3ec48c6373fd5daac78f0c6a417"]скачайте [/URL]C:\WINDOWS\System32\Drivers\Winlk38.sys - force delete
выполните скрипт ....
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{86A44EF7-78FC-4e18-A564-B18F806F7F56}');
QuarantineFile('C:\Program Files\ActivationManager\ActivationManager.dll','');
DelBHO('{6D7B211A-88EA-490c-BAB9-3600D8D7C503}');
DelBHO('{FFFC57DB-1DE3-4303-B24D-CEE6DCDD3D86}');
QuarantineFile('C:\WINDOWS\system32\lphcttkj0er6r.exe','');
DeleteService('WinDefendWinDefend');
DeleteService('WinDefendSSDPSRV');
DeleteService('TmPfwRemoteRegistry');
DeleteService('SoundMAXWebClientNtLmSsp');
DeleteService('SoundMAXWebClient');
DeleteService('SENSClipSrvaspnet_state');
DeleteService('SENSClipSrv');
DeleteService('ScheduleRasAuto');
DeleteService('RDSessMgrDnscache');
DeleteService('RDSessMgrCiSvc');
DeleteService('oseFastUserSwitchingCompatibility');
DeleteService('NtLmSspWebClient');
DeleteService('Netlogonwuauserv');
DeleteService('NetlogonRpcLocator');
DeleteService('MSIServerWebClient');
DeleteService('HTTPFilterSoundMAXWebClient');
DeleteService('gusvcSoundMAXWebClient');
DeleteService('ERSvcTmProxy');
DeleteService('dmadminRpcSs');
DeleteService('Dhcpdmserver');
DeleteService('COMSysAppClipSrvseclogon');
DeleteService('COMSysAppClipSrv');
DeleteService('CiSvcdmadmin');
DeleteService('BITSShellHWDetection');
DeleteService('aspnet_stateERSvc');
DeleteService('ALGSCardSvr');
DeleteService('ALGNtmsSvc');
QuarantineFile('C:\WINDOWS\system32\Drivers\Winlk38.sys','');
QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll','');
QuarantineFile('c:\windows\system32\lphcttkj0er6r.exe','');
DeleteFile('c:\windows\system32\lphcttkj0er6r.exe');
DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
DeleteFile('C:\WINDOWS\system32\Drivers\Winlk38.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winlk38.sys');
DeleteFile('C:\WINDOWS\system32\blphcttkj0er6r.scr');
DeleteFile('C:\WINDOWS\system32\lphcttkj0er6r.exe');
DeleteFile('WinCtrl32.dll');
DeleteFile('C:\PROGRA~1\MYCENT~1\InfoBar\MYCENT~1.DLL');
DeleteFile('C:\Program Files\ConnectionServices\ConnectionServices.dll');
DeleteFile('C:\Program Files\ActivationManager\ActivationManager.dll');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteRepair(5);
ExecuteRepair(6);
ExecuteRepair(8);
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил ...
повторите логи ...
Похоже, что все восстановилось!! :D
Отправляю карантин и логи.
[COLOR="Red"][B]moderated:::- Закачайте карантин по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы (Приложение 3 правил).[/B][/COLOR]
[COLOR="Red"][B]Внимание !!! База AVZ поcледний раз обновлялась 06.04.2008 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)
Восстановление системы: включено[/B][/COLOR]
Повторите логи в соответствии с правилами.
Свежие логи по правилам. Карантин закачан правильно. Восстановление сист. отключено.
выполните скрипт .....
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\iotrokhov\Local Settings\Temp\loader.exe','');
BC_DeleteSvc('Winlk38');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winlk38.sys','');
BC_DeleteSvc('WinDefendWinDefend');
BC_DeleteSvc('WinDefendSSDPSRV');
BC_DeleteSvc('WinDefendBITS');
BC_DeleteSvc('SoundMAXWebClientNtLmSsp');
BC_DeleteSvc('SoundMAXWebClient');
BC_DeleteSvc('SENSClipSrv');
BC_DeleteSvc('ScheduleRasAuto');
BC_DeleteSvc('RSVPaspnet_stateERSvc');
BC_DeleteSvc('RDSessMgrDnscache');
BC_DeleteSvc('RDSessMgrCiSvc');
BC_DeleteSvc('oseFastUserSwitchingCompatibility');
BC_DeleteSvc('NtLmSspWebClient');
BC_DeleteSvc('Netlogonwuauserv');
BC_DeleteSvc('NetlogonRpcLocator');
BC_DeleteSvc('MSIServerWebClient');
BC_DeleteSvc('HTTPFilterSoundMAXWebClient');
BC_DeleteSvc('gusvcSoundMAXWebClient');
BC_DeleteSvc('ERSvcTmProxy');
BC_DeleteSvc('Dhcpdmserverlanmanworkstation');
BC_DeleteSvc('Dhcpdmserver');
BC_DeleteSvc('COMSysAppClipSrvseclogon');
BC_DeleteSvc('COMSysAppClipSrv');
BC_DeleteSvc('CiSvcdmadmin');
BC_DeleteSvc('BITSShellHWDetection');
BC_DeleteSvc('aspnet_stateERSvc');
BC_DeleteSvc('ALGSCardSvr');
BC_DeleteSvc('ALGNtmsSvc');
DeleteFile('C:\WINDOWS\System32\Drivers\Winlk38.sys');
DeleteFile('C:\Documents and Settings\iotrokhov\Local Settings\Temp\loader.exe');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteRepair(5);
ExecuteRepair(6);
ExecuteRepair(8);
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил ....
повторите логи ...
Новые логи, карантин отправлен!
1. Отключите восстановление системы и антивирус.
2. [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ:[/URL]
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('TmPfwRemoteRegistry');
DeleteService('SENSClipSrvaspnet_state');
DeleteService('dmadminRpcSs');
DeleteFile('srv.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('TmPfwRemoteRegistry');
BC_DeleteSvc('SENSClipSrvaspnet_state');
BC_DeleteSvc('dmadminRpcSs');
BC_Activate;
RebootWindows(true);
end.[/code]
После выполнения скрипта компьютер перезагрузится!
3. [URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите в HijackThis:[/URL]
[quote]O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\[/quote]
4. Повторите логи.
Все сделал, отправляю логи!
пофиксите ...
[code]
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
[/code]
больше ничего плохого ...
Огромное спасибо!! :D
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]10[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\documents and settings\\iotrokhov\\local settings\\temp\\loader.exe - [B]Trojan-Downloader.Win32.Agent.abrt[/B] (DrWEB: Trojan.DownLoad.2077)[*] c:\\system volume information\\_restore{9f94f738-4558-43a5-b317-7e359e0dd27a}\\rp3\\a0000074.dll - [B]Trojan.Win32.ConnectionServices.l[/B] (DrWEB: Trojan.BitAcc)[*] c:\\windows\\system32\\lphcttkj0er6r.exe - [B]Trojan-Downloader.Win32.Small.abob[/B] (DrWEB: Trojan.Packed.600)[*] c:\\windows\\system32\\winctrl32.dll - [B]Trojan-Downloader.Win32.Mutant.ayn[/B] (DrWEB: Trojan.Packed.573)[/LIST][/LIST]