Printable View
Доброго времени суток.
В системе поселились вирусы. При запуске винды они обнаруживаются, KAV обещает удалить при перезапуске (и потом находит там же, где и было) + в svchost сидит какая-то пакость, которую он не может удалить. В безопасном режиме вообще ничего подозрительного нигде не находит..ни он, ни AVPtool..посмотрите, плз, что можно сделать..
выполните скрипт
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('crypts.dll','');
QuarantineFile('digeste.dll','');
QuarantineFile('C:\DOCUME~1\admin\LOCALS~1\Temp\winlogon.exe','');
DeleteService('tcpsr');
SetServiceStart('ati2ttxx', 4);
DeleteService('ati2ttxx');
QuarantineFile('C:\WINDOWS\system32\Drivers\ati2ttxx.sys','');
QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys','');
QuarantineFile('\systemroot\system32\drivers\TDSSmqlt.sys','');
DeleteFile('\systemroot\system32\drivers\TDSSmqlt.sys');
DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
DeleteFile('C:\WINDOWS\system32\Drivers\ati2ttxx.sys');
DeleteFile('C:\DOCUME~1\admin\LOCALS~1\Temp\winlogon.exe');
DeleteFile('digeste.dll');
DeleteFile('crypts.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил
повторите логи
В карантине пусто..
Скачать этот AVZ [url]http://depositfiles.com/files/sutnyhabc[/url]
[URL="http://virusinfo.info/showthread.php?t=7239"]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('ati2ttxx');
DeleteFile('C:\WINDOWS\system32\Drivers\ati2ttxx.sys');
DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('ati2ttxx');
BC_Activate;
RebootWindows(true);
end.[/CODE]
Повторите логи...
Логи.
Пофиксите в HijackThis:
[code]
O4 - Startup: is-GHJTU.lnk = C:\progs\AVPtool\is-GHJTU\startup.exe
O4 - Startup: PowerReg Scheduler V3.exe
O4 - Startup: PowerReg Scheduler.exe
O20 - Winlogon Notify: crypt - C:\WINDOWS\
O20 - Winlogon Notify: crypt- - C:\WINDOWS\
[/code]
Больше ничего подозрительного не видно.
Огромное спасибо за помощь.