spools.exe

Здравствуйте!При включении запускается 1 или 2 процесса spools.exe.При этом не работают значки в трее, виндоус медиа плеер и вроде бы отпревление лишних пакетов.При попытке убить червь самостоятельно чуть не положил систему, что делал: проверял антивирусом AVG, удалял из реестра ключи со spools.exe после чего не запускалось 99% программ, с ошибкой "файл не согласован с программой выполнения. Проведите согласование в "свойсвах папки". Пришлось использовать восстановление системы. Ситуация та же - висящий spools.exe в процессах, не работают значки в трее, виндоус медиа плеер и вроде бы отпревление лишних пакетов.Хотелосб бы попросить о помощи! Заранее спасибо!

выполните скрипт
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('E:\Documents and Settings\Den1\Local Settings\Temp\STPE.tmp','');
QuarantineFile('E:\WINDOWS\system32\oembios.exe','');
QuarantineFile('E:\WINDOWS\system32\ntos.exe','');
QuarantineFile('E:\WINDOWS\system32\drivers\spools.exe','');
QuarantineFile('E:\Documents and Settings\den2\cftmon.exe','');
QuarantineFile('E:\Documents and Settings\LocalService.NT AUTHORITY\cftmon.exe','');
DeleteService('mickey32');
QuarantineFile('E:\WINDOWS\system32\drivers\mickey32.sys','');
QuarantineFile('E:\WINDOWS\system32\drivers\docker19.sys','');
DeleteService('Schedule');
DeleteService('RpcLocatorMSDTC');
QuarantineFile('srv.exe','');
DeleteService('Google Online Services');
QuarantineFile('E:\Documents and Settings\den2\ie_updates3r.exe','');
TerminateProcessByName('e:\windows\system32\drivers\spools.exe');
QuarantineFile('e:\windows\system32\drivers\spools.exe','');
DeleteFile('e:\windows\system32\drivers\spools.exe');
DeleteFile('E:\Documents and Settings\den2\ie_updates3r.exe');
DeleteFile('srv.exe');
DeleteFile('E:\WINDOWS\system32\drivers\spools.exe');
DeleteFile('E:\WINDOWS\system32\drivers\docker19.sys');
DeleteFile('E:\WINDOWS\system32\drivers\mickey32.sys');
DeleteFile('E:\Documents and Settings\LocalService.NT AUTHORITY\cftmon.exe');
DeleteFile('E:\Documents and Settings\den2\cftmon.exe');
DeleteFile('E:\WINDOWS\system32\ntos.exe');
DeleteFile('E:\WINDOWS\system32\oembios.exe');
DeleteFile('E:\Documents and Settings\Den1\Local Settings\Temp\STPE.tmp');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил
повторите логи

После выполнения данного скрипта не запускается ни одна программа кроме эксплорера, просит указать программу с помощью которой открыть exe файлы.
AVZ и HiJackthis смог запустить только после переименования последних в *.com файлы.
Карантин выслал.

[URL="http://www.virusinfo.info/showthread.php?t=4491"]"Пофиксите"[/URL] в HijackThis
[CODE]
F2 - REG:system.ini: UserInit=E:\WINDOWS\system32\userinit.exe,E:\WINDOWS\system32\ntos.exe,E:\WINDOWS\system32\oembios.exe,
[/CODE]

[URL="http://virusinfo.info/showthread.php?t=7239"]В AVZ -> файл-> Выполнить скрипт[/URL]

[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('mickey32');
DeleteService('docker19');
DeleteService('Schedule');
DeleteService('RpcLocatorMSDTC');
DeleteService('Google Online Services');
DeleteFile('E:\Documents and Settings\den2\ie_updates3r.exe');
DeleteFile('srv.exe');
DeleteFile('E:\WINDOWS\system32\drivers\spools.exe');
DeleteFile('E:\WINDOWS\system32\drivers\docker19.sys');
DeleteFile('E:\WINDOWS\system32\drivers\mickey32.sys');
DeleteFile('E:\Documents and Settings\LocalService.NT AUTHORITY\cftmon.exe');
DeleteFile('E:\Documents and Settings\den2\cftmon.exe');
DeleteFile('E:\WINDOWS\system32\ntos.exe');
DeleteFile('E:\WINDOWS\system32\oembios.exe');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteRepair(1);
BC_Activate;
RebootWindows(true);
end.
[/CODE]
Повторите логи по правилам.
Что с .exe файлами?

Exe. файлы по сути не запускались, появлялось окно для выбора программы запуска НО:
Выполнил указанные [B]light5[/B]9 действия (только в hijackthis не нашел данных строк, пофиксил все) и выполнил скрипт - вроде бы все заработало и spools.exe в процессах нет.
Большое спасибо!

PS
Логи все равно делать?

Ээээ... А что это вы там пофиксили?? :ohmy:
Логи сделайте по-новой. Может ещё что-то осталось.

отметил все строки и нажал фикс
логи

[quote=navy_seals;324940]отметил все строки и нажал фикс[/quote]
Не делайте так больше. Не пугайте дядю... :wacko2:

Что с проблемами? По логам чистенько...

Пока все нормально, спасибо еще раз!

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]4[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] e:\\documents and settings\\den2\\cftmon.exe - [B]Trojan.Win32.Agent.baek[/B] (DrWEB: Win32.HLLW.Autoruner.2149)[*] e:\\documents and settings\\localservice.nt authority\\cftmon.exe - [B]Trojan.Win32.Agent.baek[/B] (DrWEB: Win32.HLLW.Autoruner.2149)[*] e:\\windows\\system32\\drivers\\spools.exe - [B]Trojan.Win32.Agent.baek[/B] (DrWEB: Win32.HLLW.Autoruner.2149)[/LIST][/LIST]