Уважаемые здравствуйте
машина windows xp sp3, sep11 ставился поверх заразы
при старте машина дольше обычного шуршит диском
Printable View
Уважаемые здравствуйте
машина windows xp sp3, sep11 ставился поверх заразы
при старте машина дольше обычного шуршит диском
Здравствуйте,
Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
- Отключите ПК от интернета/локалки
- Отключите Антивирус и Файрвол.
- Отключите Системное восстановление.
-[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/URL]:
[CODE]F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,c:\windows\system32\twext.exe,
O2 - BHO: Доступ к платному контенту FieryAds v2.0.2 - {6D125299-C2A9-4DBC-BEC3-6F7124E39A41} - C:\DOCUME~1\izutin\APPLIC~1\FieryAds\FieryAds.dll (file missing)
O3 - Toolbar: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - (no file)
O4 - HKLM\..\Policies\Explorer\Run: [system] C:\WINDOWS\system32\svchоst.exe
O20 - Winlogon Notify: arm32reg - C:\Documents and Settings\All Users\Документы\Settings\arm32.dll (file missing)
[/CODE]
-[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
StopService('windev-fbe-c8f');
StopService('msupdate');
DelBHO('{6D125299-C2A9-4DBC-BEC3-6F7124E39A41}');
QuarantineFile('C:\DOCUME~1\izutin\APPLIC~1\FieryAds\FieryAds.dll','');
QuarantineFile('c:\windows\system32\twext.exe','');
QuarantineFile('C:\WINDOWS\system32\svchоst.exe','');
QuarantineFile('C:\Documents and Settings\All Users\Документы\Settings\arm32.dll','');
QuarantineFile('C:\WINDOWS\system32\windev-fbe-c8f.sys','');
QuarantineFile('c:\windows\system32\vhosts.exe','');
QuarantineFile('C:\DOCUME~1\izutin\LOCALS~1\Temp\pxldrpob.sys','');
DeleteFile('C:\DOCUME~1\izutin\LOCALS~1\Temp\pxldrpob.sys');
DeleteFile('c:\windows\system32\vhosts.exe');
DeleteFile('C:\WINDOWS\system32\windev-fbe-c8f.sys');
DeleteFile('C:\Documents and Settings\All Users\Документы\Settings\arm32.dll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\arm32reg','DLLName');
DeleteFile('C:\WINDOWS\system32\svchоst.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','system');
DeleteFile('c:\windows\system32\twext.exe');
DeleteFile('C:\DOCUME~1\izutin\APPLIC~1\FieryAds\FieryAds.dll');
DeleteFileMask('C:\DOCUME~1\izutin\APPLIC~1\FieryAds','*.*',true);
DeleteDirectory('C:\DOCUME~1\izutin\APPLIC~1\FieryAds');
DeleteService('msupdate');
DeleteService('windev-fbe-c8f');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
BC_DeleteSvc('msupdate');
BC_DeleteSvc('windev-fbe-c8f');
SetAVZPMStatus(True);
RebootWindows(true);
end.[/CODE]
[COLOR="Red"]Если у Вас после перезагрузки появится неизвестное устройство - удалите его через диспетчер устройств.[/COLOR]
После перезагрузки:
- [url="http://virusinfo.info/showthread.php?t=10025"] Очистите [/url]темп-папки, кэш проводников и корзину.
- Закачайте карантин по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы (Приложение 3 правил).
- Повторите в точности действия, описанные в пп.1 - 3 раздела правил Диагностика, новые логи прикрепите к новому сообщению.
карантин отправил
Файл сохранён как 091022_090041_virus_4adfe6f969057.zip
Размер файла 3249331
MD5 bfccc3be7ab7fd4307a6a611ad0e61d6
пофиксил, выполнил, почистил
новые логи:
-[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/URL]:
[CODE]O20 - Winlogon Notify: arm32reg - C:\WINDOWS\
[/CODE]
- В логах больше ничего подозрительного. Жалобы есть?
- Установите [URL="http://www.microsoft.com/rus/windows/internet-explorer/default.aspx"]IE 8[/URL].
В карантин к сожалению ничего интересного не попало.
жалоб нет
ИЕ8 уже стоит
спасибо
[QUOTE=taishigo;490887]
ИЕ8 уже стоит[/QUOTE]
Я сегодня ещё травку не курил, мне не померещилось :>[QUOTE]MSIE: Internet Explorer v7.00 (7.00.5730.0013)
[/QUOTE]
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]15[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]