Printable View
После загрузки операционной системы несколько сообщений подряд "c:\Windows\system32\digeste.dll не является образом программы для Windows NT. Проверьте в назначении установочного диска." Worm.Win32.AutoRun.byt был обнаружен и вылечен AVZ. Читал у других по аналогичной проблеме, компьютер перезагружается и т.д., в настоящий момент таких аномалий (пока) не возникало, очень надеюсь на Вашу консультацию.
[URL="http://virusinfo.info/showthread.php?t=7239"]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{753A8E27-66CF-424B-9DF1-D821231E7E9F}');
QuarantineFile('C:\Documents and Settings\All Users\Application Data\mzdlib.dll','');
QuarantineFile('C:\WINDOWS\system32\userinit.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\spools.exe','');
QuarantineFile('C:\WINDOWS\system32\digeste.dll','');
QuarantineFile('C:\Documents and Settings\LocalService\cftmon.exe','');
DeleteService('Winou84');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winou84.sys','');
QuarantineFile('Schedule.sys','');
DeleteService('Schedule');
DeleteService('hkmsvcnapagent');
QuarantineFile('C:\WINDOWS\system32\wpv541233859884.cpx','');
QuarantineFile('C:\WINDOWS\system32\mapi3c.dll','');
QuarantineFile('C:\WINDOWS\services.exe','');
DeleteFile('C:\WINDOWS\services.exe');
DeleteFile('C:\WINDOWS\system32\wpv541233859884.cpx');
DeleteFile('C:\WINDOWS\System32\Drivers\Winou84.sys');
DeleteFile('C:\Documents and Settings\LocalService\cftmon.exe');
DeleteFile('C:\WINDOWS\system32\digeste.dll');
DeleteFile('C:\WINDOWS\system32\drivers\spools.exe');
DeleteFile('WinCtrl32.dll');
DeleteFile('C:\Documents and Settings\All Users\Application Data\mzdlib.dll');
DeleteFile('C:\WINDOWS\system32\mapi3c.dll');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteSvc('Winou84');
BC_DeleteSvc('Schedule');
BC_DeleteSvc('hkmsvcnapagent');
BC_Activate;
RebootWindows(true);
end.[/CODE]
Пришлите карантин по правилам и повторите логи...
Карантин выслал. Сообщение о Digeste.dll не выпадает, большое спасибо.
1. [B]C:\WINDOWS\system32\userinit.exe[/B] - необходимо восстановить из дистрибутива или скопировать из здоровой системы. Делать это лучше с помощью консоли восстановления или LiveCD. Если непосредственно из своей системы (не рекомендуется), тогда так: переименовать старый, скопировать новый, перезагрузиться, удалить переименованный.
2. Пофиксите в HijackThis:
[code]
O4 - Startup: ctfmon.exe
O16 - DPF: {33331111-1111-1111-1111-615111193427} -
O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\
O21 - SSODL: UpdateCheck - {62882ABD-5298-4DC2-9F2B-241006E8070D} - (no file)
[/code]
3. Выполните скрипт в AVZ:
[code]
begin
DeleteFile('digeste.dll');
ExecuteSysClean;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
4. Сделайте новые логи (только п.2 и 3 раздела Диагностика).
userinit.exe восстановил (скопировал и переименовал) из дистрибутива. Отправляю логи.
Чисто...
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]23[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\windows\services.exe - [B]Email-Worm.Win32.Joleee.gj[/B][*] c:\windows\system32\digeste.dll - [B]Trojan.Win32.Small.btk[/B][*] c:\windows\system32\userinit.exe - [B]Trojan.Win32.Inject.orj[/B] (DrWEB: Trojan.DownLoad.26770)[/LIST][/LIST]