Компьютор загружается и через пару минут пропадает доступ к нему из сети, а именно к ресурсу admin$. При каждой загрузке этот ресурс удаляется, создаю руками, но доступа нету. Прошу помощи. Ресурс нужен для удаленной установки Каспера WS.
Printable View
Компьютор загружается и через пару минут пропадает доступ к нему из сети, а именно к ресурсу admin$. При каждой загрузке этот ресурс удаляется, создаю руками, но доступа нету. Прошу помощи. Ресурс нужен для удаленной установки Каспера WS.
Немного не правильно сформулировал проблему. Пропадает доступ к расшаренным ресурсам этого компьютера и вообще ко всему компьютеру в целом. Такое чувство, что вирусяка блокирует локальную политику, т.к. пару раз при открытии онной вываливается ошибка "сбой базы локальной политики". Появилось сие чудо после того, как барышня посидела в интернете. Сама сознаваться не желает, где была, вот прошу помощи у Вас.
Отключите восстановление системы!
[URL="http://virusinfo.info/showthread.php?t=7239"]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\cssrss.exe','');
QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll','');
QuarantineFile('C:\Program Files\system101\system101.dll','');
QuarantineFile('c:\windows\system32\dllcache\msfav32.exe','');
DeleteService('Windows Internet Connection Sharing');
DeleteFile('C:\Program Files\system101\system101.dll');
DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
DeleteFile('C:\WINDOWS\system32\cssrss.exe');
DeleteFile('WinCtrl32.dll');
DeleteFile('c:\windows\system32\dllcache\msfav32.exe');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteSvc('Windows Internet Connection Sharing');
BC_Activate;
RebootWindows(true);
end.[/CODE]
Пришлите карантин по правилам и повторите логи...
Скрипт выполнил, карантин отправил, логи прилагаю.
Востановление системы пока отключить не удалось, в связи с тем, что отключение заблокировано локальной политикой.
[URL="http://mail.ustc.edu.cn/~jfpan/download/IceSword122en.zip"]Скачать[/URL],меню,File,появится аналог проводника,найти:
[CODE]C:\WINDOWS\system32\WinCtrl32.dll
C:\WINDOWS\system32\Drivers\Winty38.sys[/CODE]
правая кнопка мыши Force Delete на запрос о перезагрузке ответьте положительно.
[URL="http://virusinfo.info/showthread.php?t=7239"]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('Winkq40');
DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
DeleteFile('C:\WINDOWS\system32\Drivers\Winty38.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winkq40.sys');
DeleteFile('WinCtrl32.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('Winkq40');
BC_Activate;
RebootWindows(true);
end.[/CODE]
Повторите логи...
Повторяю...
[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксить[/URL]
[CODE]O9 - Extra button: (no name) - {4B5A7560-16C6-4063-86D3-000000000003} - (no file)
O9 - Extra 'Tools' menuitem: Блокировка всплывающих окон - {4B5A7560-16C6-4063-86D3-000000000003} - (no file)
O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\[/CODE]
Жалобы есть?
Жалоб нет, огромное Вам спасибо. ;)
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]10[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\dllcache\\msfav32.exe - [B]Backdoor.Win32.Rbot.eyn[/B] (DrWEB: Trojan.Packed.650)[*] c:\\windows\\system32\\winctrl32.dll - [B]Trojan-Downloader.Win32.Mutant.bpc[/B] (DrWEB: BackDoor.Bulknet.225)[/LIST][/LIST]