Появился сабж на рабочем столе, к свойствам рабочего стола доступ перекрыт. Переодически запускается аля-скринсейвер с экраном загрузки windows, и затем имитация синего экрана смерти.
Логи прилагаю.
Printable View
Появился сабж на рабочем столе, к свойствам рабочего стола доступ перекрыт. Переодически запускается аля-скринсейвер с экраном загрузки windows, и затем имитация синего экрана смерти.
Логи прилагаю.
Закройте все программы.
Запустите AVZ.
Выполните скрипт через меню Файл:
[code]
begin
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\mssrv32.exe','');
QuarantineFile('C:\WINDOWS\system32\oembios.exe','');
QuarantineFile('C:\WINDOWS\services.exe','');
QuarantineFile('C:\Documents and Settings\Нина\Application Data\Microsoft\Windows\lsass.exe','');
BC_DeleteSvc('Winyy33');
BC_DeleteSvc('Winyj56');
BC_DeleteSvc('Winqt11');
BC_DeleteSvc('Winol22');
BC_DeleteSvc('Winll31');
BC_DeleteSvc('Winjy36');
BC_DeleteSvc('Winhj14');
BC_DeleteSvc('Winfa00');
BC_DeleteSvc('Winev77');
BC_DeleteSvc('Winac38');
BC_DeleteSvc('Winaa03');
BC_DeleteSvc('mpr_freader');
BC_DeleteSvc('msupdate');
QuarantineFile('c:\windows\system32\mssrv32.exe','');
DeleteFile('c:\windows\system32\mssrv32.exe');
DeleteFile('C:\WINDOWS\System32\Drivers\Winyy33.sys');
BC_DeleteFile('C:\WINDOWS\System32\Drivers\Winyy33.sys');
BC_DeleteFile('C:\WINDOWS\System32\Drivers\Winyj56.sys');
BC_DeleteFile('C:\WINDOWS\System32\Drivers\Winqt11.sys');
BC_DeleteFile('C:\WINDOWS\System32\Drivers\Winol22.sys');
BC_DeleteFile('C:\WINDOWS\System32\Drivers\Winll31.sys');
BC_DeleteFile('C:\WINDOWS\System32\Drivers\Winjy36.sys');
BC_DeleteFile('C:\WINDOWS\System32\Drivers\Winhj14.sys');
BC_DeleteFile('C:\WINDOWS\System32\Drivers\Winfa00.sys');
BC_DeleteFile('C:\WINDOWS\System32\Drivers\Winev77.sys');
BC_DeleteFile('C:\WINDOWS\System32\Drivers\Winac38.sys');
BC_DeleteFile('C:\WINDOWS\System32\Drivers\Winaa03.sys');
DeleteFile('C:\Documents and Settings\Нина\Application Data\Microsoft\Windows\lsass.exe');
DeleteFile('C:\WINDOWS\services.exe');
DeleteFile('C:\WINDOWS\system32\oembios.exe');
SysCleanAddFile('WinCtrl32.dll');
SysCleanAddFile('avicore.dll');
ExecuteRepair(6);
ExecuteRepair(8);
ExecuteRepair(5);
ExecuteRepair(13);
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
Компьютер перезагрузится.
Пришлите файлы из карантина AVZ (см. приложение 3 Правил) используя эту ссылку:
[url]http://virusinfo.info/upload_virus.php?tid=29305[/url]
Сделайте новые логи начиная с 10-го пункта Правил и приложите их к своей теме.
Cкринсейвер можете сами отключить.
PS Пора уже Service Pack 3 на Windows устанавливать.
Спасибо.
Карантин загрузил.
Логи прилагаю.
Теперь чисто.
[url=http://virusinfo.info/showthread.php?t=4491]Пофиксте[/url] в HijackThis следующие строки:
[quote]
O20 - Winlogon Notify: avicore - C:\WINDOWS\
O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\
[/quote]
для порядка.
Проблем больше нет?
Если будет мелькать Warning! при запуске Windows, выполните в AVZ скрипт:
[code]
begin
RegKeyStrParamWrite('HKEY_USERS','.DEFAULT\Control Panel\Desktop','Wallpaper','');
end.
[/code]
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]2[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\mssrv32.exe - [B]Backdoor.Win32.Kbot.fq[/B] (DrWEB: Trojan.DownLoader.26661)[/LIST][/LIST]