Dr. WEB постоянно ругается, находит, лечит до первой перезагрузки.
Printable View
Dr. WEB постоянно ругается, находит, лечит до первой перезагрузки.
Отключите восстановление системы,обновите базы AVZ!
[URL="http://virusinfo.info/showthread.php?t=7239"]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\drivers\Winmw88.sys','');
QuarantineFile('C:\WINDOWS\system32\~.exe/r','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winws00.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winhr81.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winev66.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winbn00.sys','');
QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll','');
QuarantineFile('c:\windows\system32\lphcc2cj0e9b9.exe','');
TerminateProcessByName('c:\windows\system32\lphcc2cj0e9b9.exe');
DeleteService('Winws00');
DeleteService('Winhr81');
DeleteService('Winev66');
DeleteService('Winbn00');
DeleteService('wscsvcPlugPlay');
DeleteService('SpoolerBITS');
DeleteService('SamSsLmHosts');
DeleteFile('c:\windows\system32\lphcc2cj0e9b9.exe');
DeleteFile('C:\WINDOWS\system32\blphcc2cj0e9b9.scr');
DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
DeleteFile('C:\WINDOWS\System32\Drivers\Winbn00.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winev66.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winhr81.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winws00.sys');
DeleteFile('C:\WINDOWS\system32\~.exe/r');
DeleteFile('C:\WINDOWS\system32\drivers\Winmw88.sys');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteSvc('Winws00');
BC_DeleteSvc('Winhr81');
BC_DeleteSvc('Winev66');
BC_DeleteSvc('Winbn00');
BC_DeleteSvc('wscsvcPlugPlay');
BC_DeleteSvc('SpoolerBITS');
BC_DeleteSvc('SamSsLmHosts');
BC_Activate;
ExecuteRepair(5 );
ExecuteRepair(6 );
RegKeyStrParamWrite('HKEY_USERS','.DEFAULT\Control Panel\Desktop','Wallpaper','');
RebootWindows(true);
end.[/CODE]
Пришлите карантин по правилам и повторите логи...
карантин выслал логи по новой сделал.
Скачайте [url=http://rapidshare.com/files/133061044/IceSword122en.zip.html]IceSword[/url].
Запустите его, внизу слева выберите меню File.
Появится аналог проводника. Найдите в нем файл C:\WINDOWS\system32\Drivers\Winmw88.sys и если есть - сначала скопируйте его куда хотите при помощи Copy to..., чтобы прислать нам, а потом удалите с помощью force delete (нажмите по нему правой кнопкой мыши и выберите force delete, на запрос подтверждения ответьте "да").
Потом [url=http://virusinfo.info/showthread.php?t=7239]выполните скрипт в AVZ[/url]:
[code]begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\Drivers\Winmw88.sys','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\tcpip.sys','');
QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll','');
DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
DeleteFile('C:\WINDOWS\system32\WinCtrl32.dl_');
DeleteFile('C:\WINDOWS\system32\Drivers\Winmw88.sys');
DelWinlogonNotifyByKeyName('WinCtrl32');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteSvc('Winmw88');
BC_DeleteSvc('SpoolerRpcLocator');
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению №3 [url=http://virusinfo.info/showthread.php?t=1235]правил[/url] (загружать здесь: [url]http://virusinfo.info/upload_virus.php?tid=30575[/url] ).
Очистите временные папки и кеш браузера.
Сделайте новые логи.
Все выполнил. Вот свежие логи и карантин
Очистите временные файлы,кеш браузера!
[URL="http://virusinfo.info/showthread.php?t=7239"]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/URL]
[CODE]begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('VSSFastUserSwitchingCompatibility');
DeleteService('MSDTCNetDDE');
TerminateProcessByName('c:\windows\system32\lphcc2cj0e9b9.exe');
DeleteFile('c:\windows\system32\lphcc2cj0e9b9.exe');
DeleteFile('C:\WINDOWS\system32\blphcc2cj0e9b9.scr');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(5 );
ExecuteRepair(6 );
RegKeyStrParamWrite('HKEY_USERS','.DEFAULT\Control Panel\Desktop','Wallpaper','');
RebootWindows(true);
end.[/CODE]
Повторите логи...
Выполнил. Вот свежие логи
[URL="http://virusinfo.info/showthread.php?t=7239"]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/URL]
[CODE]begin
ClearQuarantine;
SetAVZGuardStatus(True);
DeleteService('VSSFastUserSwitchingCompatibility');
DeleteService('MSDTCNetDDE');
ExecuteSysClean;
BC_DeleteSvc('VSSFastUserSwitchingCompatibility');
BC_DeleteSvc('MSDTCNetDDE');
BC_Activate;
RebootWindows(true);
end.[/CODE]
Повторите 2-ой стандартный скрипт...
Выполнил повторно только syscheck
Чисто,жалобы есть?
Благодарю :-)
Компьютер девственно чист :-)