Подцепил ... Тут уже про него писали - картинка, блокировка диспетчера задач и прочия ....
Printable View
Подцепил ... Тут уже про него писали - картинка, блокировка диспетчера задач и прочия ....
выполните скрипт...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\mssrv32.exe','');
QuarantineFile('C:\WINDOWS\services.exe','');
QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
QuarantineFile('C:\WINDOWS\system32\vedxg6ame4.exe','');
QuarantineFile('c:\windows\system32\svchost.exe','');
QuarantineFile('C:\Documents and Settings\katia\Local Settings\Temp\1.EXE','');
QuarantineFile('C:\WINDOWS\msbilltrust.exe','');
QuarantineFile('C:\WINDOWS\iexplorer.exe','');
QuarantineFile('C:\WINDOWS\System32\Drivers\MGHwCtrl.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\services.exe','');
DeleteService('Schedule');
DeleteService('msupdate');
QuarantineFile('c:\windows\system32\mssrv32.exe','');
DeleteService('Adobe LM Service');
QuarantineFile('C:\DOCUME~1\katia\LOCALS~1\Temp\1.EXE','');
QuarantineFile('C:\WINDOWS\system32\drivers\RVRNRNRV.sys','');
QuarantineFile('C:\WINDOWS\system32\ahuir.dll','');
TerminateProcessByName('c:\windows\system32\winds32.exe');
QuarantineFile('c:\windows\system32\winds32.exe','');
TerminateProcessByName('c:\documents and settings\oleg_kh\svchost.exe');
QuarantineFile('c:\documents and settings\oleg_kh\svchost.exe','');
TerminateProcessByName('c:\documents and settings\localservice.nt authority\svchost.exe');
QuarantineFile('c:\documents and settings\localservice.nt authority\svchost.exe','');
TerminateProcessByName('c:\windows\services.exe');
QuarantineFile('c:\windows\services.exe','');
TerminateProcessByName('c:\windows\system32\drivers\services.exe');
QuarantineFile('c:\windows\system32\drivers\services.exe','');
TerminateProcessByName('c:\windows\neos.exe');
QuarantineFile('c:\windows\neos.exe','');
TerminateProcessByName('c:\windows\faceback.exe');
QuarantineFile('c:\windows\faceback.exe','');
TerminateProcessByName('c:\windows\system32\dflgh8jkd2q7.exe');
TerminateProcessByName('c:\windows\system32\dflgh8jkd2q6.exe');
QuarantineFile('c:\windows\system32\dflgh8jkd2q6.exe','');
TerminateProcessByName('c:\windows\cpucooler.exe');
QuarantineFile('c:\windows\cpucooler.exe','');
DeleteFile('c:\windows\cpucooler.exe');
DeleteFile('c:\windows\system32\dflgh8jkd2q7.exe');
DeleteFile('c:\windows\faceback.exe');
DeleteFile('c:\windows\neos.exe');
DeleteFile('c:\windows\system32\drivers\services.exe');
DeleteFile('c:\windows\services.exe');
DeleteFile('c:\documents and settings\localservice.nt authority\svchost.exe');
DeleteFile('c:\documents and settings\oleg_kh\svchost.exe');
DeleteFile('c:\windows\system32\winds32.exe');
DeleteFile('C:\Documents and Settings\LocalService.NT AUTHORITY\svchost.exe');
DeleteFile('C:\Documents and Settings\oleg_kh\svchost.exe');
DeleteFile('C:\WINDOWS\cpucooler.exe');
DeleteFile('C:\WINDOWS\faceback.exe');
DeleteFile('C:\WINDOWS\msbilltrust.dll');
DeleteFile('C:\WINDOWS\neos.exe');
DeleteFile('C:\WINDOWS\services.exe');
DeleteFile('C:\WINDOWS\system32\ahuir.dll');
DeleteFile('C:\WINDOWS\system32\winds32.exe');
DeleteFile('C:\WINDOWS\system32\drivers\RVRNRNRV.sys');
DeleteFile('C:\DOCUME~1\katia\LOCALS~1\Temp\1.EXE');
DeleteFile('c:\windows\system32\mssrv32.exe');
DeleteFile('C:\WINDOWS\system32\drivers\services.exe');
DeleteFile('C:\WINDOWS\iexplorer.exe');
DeleteFile('C:\WINDOWS\msbilltrust.exe');
DeleteFile('C:\WINDOWS\system32\blphc3tmj0e987.scr');
DeleteFile('C:\Documents and Settings\katia\Local Settings\Temp\1.EXE');
DeleteFile('c:\windows\system32\svchost.exe');
DeleteFile('C:\WINDOWS\system32\vedxg6ame4.exe');
DeleteFile('C:\WINDOWS\system32\ntos.exe');
BC_DeleteFile('C:\WINDOWS\system32\mssrv32.exe');
DeleteFileMask('%Tmp%', '*.*', true);
DeleteFileMask('C:\Documents and Settings\katia\Local Settings\Temporary Internet Files\Content.IE5\', '*.*', true);
BC_ImportDeletedList;
ExecuteRepair(11);
ExecuteRepair(5);
ExecuteRepair(6);
ExecuteRepair(8);
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил
повторите логи
Скрипт выполнился правда делался долго. Система востановилась, НО
1. Упали учетные записи юзеров - при запуске винда они есть - в Контрольной панели - Учетные записи записей нет
2. Контрольная панель - Сетевые подключения тоже ничего нет.
Новые сетевые соединения не создаются ( делал через мастер - по другому не умею :().
Что еще не работает не могу сказать.
Поэтому с этой машины я ничего выслать не могу. Что делать?
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]
begin
executerepair(14);
RebootWindows(true);
end.
[/CODE]
После перезагрузки проинформируйте о состоянии ПК.
Не помогло ... делал еще 15 программу - то же самое не помогает.
Что дальше будем делать?
ИМХО тут видимо винде надо дать файлы системные - юзера и сетевые подключения есть только они где-то внутри остались ... Когда открываешь сетевые подключения - он так и пишет - не могу создать список.
[QUOTE=user2008;284140]. делал еще 15 программу - то же самое не помогает.[/QUOTE]Не нужно самодеятельности. Если очень хочется поработать - сделайте формат ц:\ :)
Попробуйте еще [B]sfc /scannow [/B]: [url]http://support.microsoft.com/?scid=kb%3Bru%3B310747&x=16&y=8[/url]
Спасибочки ... Вечером сделаю и отпишу.
не получилось сделать - не делает ничего эта прога
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]
begin
SetAVZPMStatus(true);
RebootWindows(true);
end.
[/CODE]
После перезагрузки повторите логи.