Периодически обрывается связь с интернетом.
Логи прилагаются (syscheck не создался даже после двух попыток).
Вижу подозрительную папку scan в system32, но пока не трогаю, до ваших рекомендаций.
Printable View
Периодически обрывается связь с интернетом.
Логи прилагаются (syscheck не создался даже после двух попыток).
Вижу подозрительную папку scan в system32, но пока не трогаю, до ваших рекомендаций.
Пофиксите в HijackThis:
[code]
R3 - URLSearchHook: {1A03F196-9617-4CA0-842B-A83CEECB022B} - - shell32.dll (file missing)
F2 - REG:system.ini: UserInit=userinit.exe,
O2 - BHO: (no name) - {36DBC179-A19F-48F2-B16A-6A3E19B42A87} - c:\windows\system32\chkdsk.dll (file missing)
O4 - HKLM\..\Run: [Client Server Runtime Process] C:\WINDOWS\system32\csrs.exe
O4 - HKLM\..\Run: [runwinlogon] C:\WINDOWS\winlogon.exe
O20 - Winlogon Notify: isrconf - C:\WINDOWS\
O20 - Winlogon Notify: wmspmsv1 - C:\WINDOWS\
O20 - Winlogon Notify: zlcocard - C:\WINDOWS\
[/code]
Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\kernel32.exe','');
QuarantineFile('c:\windows\system32\chkdsk.dll','');
QuarantineFile('digeste.dll','');
QuarantineFile('C:\WINDOWS\winlogon.exe','');
QuarantineFile('C:\WINDOWS\system32\csrs.exe','');
QuarantineFile('C:\DOCUME~1\olga\LOCALS~1\Temp\adxapie.sys','');
QuarantineFile('C:\WINDOWS\system32\_svchost.exe','');
QuarantineFile('C:\WINDOWS\System32\CbEvtSvc.exe','');
QuarantineFile('C:\WINDOWS\system32\scan\svchost.exe','');
QuarantineFile('C:\WINDOWS\system32\scan\service.exe','');
DeleteFile('C:\WINDOWS\system32\scan\service.exe');
DeleteFile('C:\WINDOWS\system32\scan\svchost.exe');
DeleteFile('C:\WINDOWS\System32\CbEvtSvc.exe');
DeleteFile('C:\WINDOWS\system32\_svchost.exe');
DeleteFile('C:\DOCUME~1\olga\LOCALS~1\Temp\adxapie.sys');
DeleteFile('C:\WINDOWS\system32\csrs.exe');
DeleteFile('C:\WINDOWS\winlogon.exe');
DeleteFile('digeste.dll');
DeleteFile('c:\windows\system32\chkdsk.dll');
DeleteFile('C:\WINDOWS\system32\kernel32.exe');
DelBHO('{36DBC179-A19F-48F2-B16A-6A3E19B42A87}');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('Hdq44');
BC_DeleteSvc('EntDrv51');
BC_DeleteSvc('adxapie');
BC_DeleteSvc('McAfeeFramework');
BC_DeleteSvc('Microsoft Internet Services');
BC_DeleteSvc('CbEvtSvc');
BC_DeleteSvc('svcfost');
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: [url]http://virusinfo.info/upload_virus.php?tid=40057[/url]).
Сделайте новые логи (только п.2 и 3 раздела Диагностика).
Карантин загрузил.
syscheck так и не создается, хотя сообщение о выполнении скрипта появляется.
syscure делайте тогда...
Syscure.
[URL="http://virusinfo.info/showthread.php?t=7239"]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/URL]
[CODE]begin
ClearQuarantine;
SetAVZGuardStatus(True);
QuarantineFile('F:\autorun.inf','');
DelBHO('{95289393-33EA-4F8D-B952-483415B9C955}');
DeleteFile('C:\Documents and Settings\olga\Application Data\Microsoft\Internet Explorer\qipsearchbar.dll');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
Пришлите карантин по правилам и повторите логи...
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]4[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\windows\system32\kernel32.exe - [B]not-a-virus:Client-IRC.Win32.mIRC.621[/B][*] c:\windows\system32\scan\svchost.exe - [B]not-a-virus:Client-IRC.Win32.mIRC.617[/B] (DrWEB: Program.mIRC.617)[/LIST][/LIST]