страницы автоматично опускаются к низу, произвольно открываются окна
система иногда перезагружается, и в целом подтормаживает
Printable View
страницы автоматично опускаются к низу, произвольно открываются окна
система иногда перезагружается, и в целом подтормаживает
- Закройте/выгрузите все программы кроме Internet Explorer.
Отключите
- ПК от интернета/локальной сети.
[B]- Антивирус и Файрвол.[/B]
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт AVZ:[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true); {ClearQuarantine;}
StopService('Isx74');
StopService('tcpsr');
QuarantineFile('C:\WINDOWS\system32\WlCtrl32.dll','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Isx74.sys','');
QuarantineFile('srv.exe','');
DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
DeleteFile('C:\WINDOWS\system32\WlCtrl32.dll');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('tcpsr');
SetAVZPMStatus(true);
BC_Activate;
RebootWindows(true);
end.[/CODE]
Система перезагрузится.
После перезагрузки:
- [URL="http://virusinfo.info/showthread.php?t=10025"]Очистите темп-папки, кэш проводников и корзину.[/URL]
[B]- Закройте все программы, включая Антивирус и Файрвол, оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!![/B]
- Сделайте повторные логи согласно пункта 2 [URL="http://virusinfo.info/pravila.html"]Правил (Диагностика)[/URL]
[I]virusinfo_syscheck.zip
[/I]
- Включите Антивирус и Файрволл
- Подключите ПК к интернету/локальной сети
- Загрузите карантин согласно [URL="http://virusinfo.info/pravila.html"]Правил (Приложение 3)[/URL].
- Прикрепите новые логи к новому сообщению в этой ветке.
- [URL="http://virusinfo.info/showthread.php?t=43700"]Восстановите функции Windows Update с помощью regedit.[/URL]
визуально вроде ничего не изменилось
[QUOTE=gjf;498582]
- [URL="http://virusinfo.info/showthread.php?t=43700"]Восстановите функции Windows Update с помощью regedit.[/URL][/QUOTE]
Вообще-то, когда Вас просят что-то делать - нужно делать [U]всё[/U].
Ну да ладно.
[B]В обязательном порядке установите Сервис Пак 3[/B] - возможно потребуется активация. Перед установкой Сервис Пака необходимо выгрузить все защитные приложения (антивирус, файрвол, а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)
Установите все последние [URL="http://update.microsoft.com"]обновления системы Windows[/URL] и используемых программ.
После этого - повторный лог [I]virusinfo_syscheck.zip[/I].
Добрый день
выполнил всё по вашим инструкциям
вот лог
(извините, если что неправильно делаю - первый раз здесь)
ПС. после выполнения первого скрипта при перезагрузки появляется какое-то новое устройство
код экземпляра устройства ROOT\LEGACY_UZM3MTQ3\0000
Выполните скрипт:
[CODE] begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
BC_DeleteSvc('wuauservWmiSchedule');
BC_DeleteSvc('wuauservBITS');
BC_DeleteSvc('WmiSchedule');
BC_DeleteSvc('WmiApSrvSwPrvLmHosts');
BC_DeleteSvc('winmgmtRemoteAccessScheduleWebClientShellHWDetection');
BC_DeleteSvc('winmgmtRemoteAccessScheduleWebClient');
BC_DeleteSvc('winmgmtRemoteAccessSchedule');
BC_DeleteSvc('winmgmtRemoteAccess');
BC_DeleteSvc('winmgmtNetDDEdsdm');
BC_DeleteSvc('winmgmtEventSystem');
BC_DeleteSvc('W32TimeRSVPwscsvc');
BC_DeleteSvc('W32TimeNVSvc');
BC_DeleteSvc('VSSDcomLaunch');
BC_DeleteSvc('upnphostNetDDEdsdmSysmonLogSwPrvLmHosts');
BC_DeleteSvc('upnphostNetDDEdsdm');
BC_DeleteSvc('TrkWksLmHosts');
BC_DeleteSvc('TrkWksDnscacheCiSvcRDSessMgr');
BC_DeleteSvc('TlntSvrsrserviceSENS');
BC_DeleteSvc('TlntSvrsrservice');
BC_DeleteSvc('TlntSvrNMIndexingService');
BC_DeleteSvc('TapiSrvPlugPlay');
BC_DeleteSvc('TapiSrvmnmsrvcNVSvc');
BC_DeleteSvc('SysmonLogSwPrvLmHosts');
BC_DeleteSvc('SwPrvLmHosts');
BC_DeleteSvc('SwPrvHidServRasAutoEventSystem');
BC_DeleteSvc('SSDPSRVose');
BC_DeleteSvc('srserviceSwPrvLmHostsATKKeyboardService');
BC_DeleteSvc('srserviceSwPrvLmHosts');
BC_DeleteSvc('SpoolerMSDTC');
BC_DeleteSvc('ShellHWDetectionRemoteAccess');
BC_DeleteSvc('SENSLmHostsSwPrvHidServRasAutoEventSystemNla');
BC_DeleteSvc('SENSLmHostsSwPrvHidServRasAutoEventSystem');
BC_DeleteSvc('SENSLmHostsNetDDEdsdm');
BC_DeleteSvc('SENSLmHostsAudioSrv');
BC_DeleteSvc('SENSLmHosts');
BC_DeleteSvc('RSVPwscsvc');
BC_DeleteSvc('RSVPwinmgmtRemoteAccessScheduleWebClient');
BC_DeleteSvc('RSVPHTTPFilterThemesNetlogon');
BC_DeleteSvc('RSVPHTTPFilterThemes');
BC_DeleteSvc('RSVPHTTPFilter');
BC_DeleteSvc('RasManSENSLmHostsAudioSrv');
BC_DeleteSvc('RasAutoEventSystem');
BC_DeleteSvc('ProtectedStoragemnmsrvcNVSvc');
BC_DeleteSvc('ProtectedStorageDhcp');
BC_DeleteSvc('PlugPlaysrserviceSwPrvLmHosts');
BC_DeleteSvc('NVSvcUMWdfRasManSENSLmHostsAudioSrv');
BC_DeleteSvc('NVSvcUMWdfMSIServerRpcLocatorNtLmSspERSvcaspnet_state');
BC_DeleteSvc('NVSvcUMWdf');
BC_DeleteSvc('NOD32krndmserver');
BC_DeleteSvc('MSIServerRpcLocatorNtLmSspERSvcaspnet_state');
BC_DeleteSvc('MSIServerRpcLocatorNtLmSsp');
BC_DeleteSvc('MSIServerRpcLocator');
BC_DeleteSvc('MSIServerMSIServerRpcLocator');
BC_DeleteSvc('mnmsrvcNVSvc');
BC_DeleteSvc('mnmsrvcMSIServerRpcLocatorNtLmSspERSvcaspnet_stateW32Time');
BC_DeleteSvc('mnmsrvcMSIServerRpcLocatorNtLmSspERSvcaspnet_statemnmsrvcMSIServerRpcLocatorNtLmSspERSvcaspnet_state');
BC_DeleteSvc('mnmsrvcMSIServerRpcLocatorNtLmSspERSvcaspnet_state');
BC_DeleteSvc('lanmanserverW32Time');
BC_DeleteSvc('ImapiServiceRemoteRegistry');
BC_DeleteSvc('ImapiServicemnmsrvcMSIServerRpcLocatorNtLmSspERSvcaspnet_statemnmsrvcMSIServerRpcLocatorNtLmSspERSvcaspnet_state');
BC_DeleteSvc('HTTPFilterupnphost');
BC_DeleteSvc('HTTPFilterSchedule');
BC_DeleteSvc('HidServRasAutoEventSystem');
BC_DeleteSvc('EventlogPolicyAgent');
BC_DeleteSvc('ERSvcLmHosts');
BC_DeleteSvc('ERSvcaspnet_state');
BC_DeleteSvc('Dnscachewinmgmt');
BC_DeleteSvc('DnscacheSwPrvLmHosts');
BC_DeleteSvc('DnscacheCOMSysApp');
BC_DeleteSvc('DnscacheCiSvcRDSessMgr');
BC_DeleteSvc('dmserverseclogonSENSLmHostsAudioSrv');
BC_DeleteSvc('dmserverseclogon');
BC_DeleteSvc('COMSysAppRasAuto');
BC_DeleteSvc('ClipSrvSysmonLog');
BC_DeleteSvc('ClipSrvPolicyAgent');
BC_DeleteSvc('CiSvcRDSessMgr');
BC_DeleteSvc('Browserlanmanserver');
BC_DeleteSvc('AudioSrvClipSrv');
BC_DeleteSvc('aspnet_stateNetlogon');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
Система перезагрузится. После этого - повторный лог.
вот лог
а новое устройство продолжает появляться при перезагрузки
Устройство - это нормально. А вот службы ещё висят в логах...
Выполните вот этот скрипт и потом - повторный лог.
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\System32\Drivers\Winnd68.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Isx74.sys','');
BC_DeleteSvc('Isx74');
BC_DeleteSvc('Winnd68');
BC_DeleteSvc('wuauservWmiSchedule');
BC_DeleteSvc('wuauservBITS');
BC_DeleteSvc('WmiSchedule');
BC_DeleteSvc('WmiApSrvSwPrvLmHosts');
BC_DeleteSvc('winmgmtRemoteAccessScheduleWebClientShellHWDetection');
BC_DeleteSvc('winmgmtRemoteAccessScheduleWebClient');
BC_DeleteSvc('winmgmtRemoteAccessSchedule');
BC_DeleteSvc('winmgmtRemoteAccess');
BC_DeleteSvc('winmgmtNetDDEdsdm');
BC_DeleteSvc('winmgmtEventSystem');
BC_DeleteSvc('W32TimeRSVPwscsvc');
BC_DeleteSvc('W32TimeNVSvc');
BC_DeleteSvc('VSSDcomLaunch');
BC_DeleteSvc('upnphostNetDDEdsdmSysmonLogSwPrvLmHosts');
BC_DeleteSvc('upnphostNetDDEdsdm');
BC_DeleteSvc('TrkWksLmHosts');
BC_DeleteSvc('TrkWksDnscacheCiSvcRDSessMgr');
BC_DeleteSvc('TlntSvrsrserviceSENS');
BC_DeleteSvc('TlntSvrsrservice');
BC_DeleteSvc('TlntSvrNMIndexingService');
BC_DeleteSvc('TapiSrvPlugPlay');
BC_DeleteSvc('TapiSrvmnmsrvcNVSvc');
BC_DeleteSvc('SysmonLogSwPrvLmHosts');
BC_DeleteSvc('SwPrvLmHosts');
BC_DeleteSvc('SwPrvHidServRasAutoEventSystem');
BC_DeleteSvc('SSDPSRVose');
BC_DeleteSvc('srserviceSwPrvLmHostsATKKeyboardService');
BC_DeleteSvc('srserviceSwPrvLmHosts');
BC_DeleteSvc('SpoolerMSDTC');
BC_DeleteSvc('ShellHWDetectionRemoteAccess');
BC_DeleteSvc('SENSLmHostsSwPrvHidServRasAutoEventSystemNla');
BC_DeleteSvc('SENSLmHostsSwPrvHidServRasAutoEventSystem');
BC_DeleteSvc('SENSLmHostsNetDDEdsdm');
BC_DeleteSvc('SENSLmHostsAudioSrv');
BC_DeleteSvc('SENSLmHosts');
BC_DeleteSvc('RSVPwscsvc');
BC_DeleteSvc('RSVPwinmgmtRemoteAccessScheduleWebClient');
BC_DeleteSvc('RSVPHTTPFilterThemesNetlogon');
BC_DeleteSvc('RSVPHTTPFilterThemes');
BC_DeleteSvc('RSVPHTTPFilter');
BC_DeleteSvc('RasManSENSLmHostsAudioSrv');
BC_DeleteSvc('RasAutoEventSystem');
BC_DeleteSvc('ProtectedStoragemnmsrvcNVSvc');
BC_DeleteSvc('ProtectedStorageDhcp');
BC_DeleteSvc('PlugPlaysrserviceSwPrvLmHosts');
BC_DeleteSvc('NVSvcUMWdfRasManSENSLmHostsAudioSrv');
BC_DeleteSvc('NVSvcUMWdfMSIServerRpcLocatorNtLmSspERSvcaspnet_state');
BC_DeleteSvc('NVSvcUMWdf');
BC_DeleteSvc('NOD32krndmserver');
BC_DeleteSvc('MSIServerRpcLocatorNtLmSspERSvcaspnet_state');
BC_DeleteSvc('MSIServerRpcLocatorNtLmSsp');
BC_DeleteSvc('MSIServerRpcLocator');
BC_DeleteSvc('MSIServerMSIServerRpcLocator');
BC_DeleteSvc('mnmsrvcNVSvc');
BC_DeleteSvc('mnmsrvcMSIServerRpcLocatorNtLmSspERSvcaspnet_stateW32Time');
BC_DeleteSvc('mnmsrvcMSIServerRpcLocatorNtLmSspERSvcaspnet_statemnmsrvcMSIServerRpcLocatorNtLmSspERSvcaspnet_state');
BC_DeleteSvc('mnmsrvcMSIServerRpcLocatorNtLmSspERSvcaspnet_state');
BC_DeleteSvc('lanmanserverW32Time');
BC_DeleteSvc('ImapiServiceRemoteRegistry');
BC_DeleteSvc('ImapiServicemnmsrvcMSIServerRpcLocatorNtLmSspERSvcaspnet_statemnmsrvcMSIServerRpcLocatorNtLmSspERSvcaspnet_state');
BC_DeleteSvc('HTTPFilterupnphost');
BC_DeleteSvc('HTTPFilterSchedule');
BC_DeleteSvc('HidServRasAutoEventSystem');
BC_DeleteSvc('EventlogPolicyAgent');
BC_DeleteSvc('ERSvcLmHosts');
BC_DeleteSvc('ERSvcaspnet_state');
BC_DeleteSvc('Dnscachewinmgmt');
BC_DeleteSvc('DnscacheSwPrvLmHosts');
BC_DeleteSvc('DnscacheCOMSysApp');
BC_DeleteSvc('DnscacheCiSvcRDSessMgr');
BC_DeleteSvc('dmserverseclogonSENSLmHostsAudioSrv');
BC_DeleteSvc('dmserverseclogon');
BC_DeleteSvc('COMSysAppRasAuto');
BC_DeleteSvc('ClipSrvSysmonLog');
BC_DeleteSvc('ClipSrvPolicyAgent');
BC_DeleteSvc('CiSvcRDSessMgr');
BC_DeleteSvc('Browserlanmanserver');
BC_DeleteSvc('AudioSrvClipSrv');
BC_DeleteSvc('aspnet_stateNetlogon');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
[size="1"][color="#666686"][B][I]Добавлено через 33 секунды[/I][/B][/color][/size]
И карантин выслать не забудьте.
вот логи
а папка с карантином пуста.
есть папка та, которую я уже высылал в первый раз (WlCtrl32.dll). нового нет
(AVZ в конце выполнения лога написало что-то красным, типа невозможно добавить в карантин и пошла перезагрузка)
Выполните такой скрипт:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\System32\Drivers\Winnd68.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Isx74.sys','');
BC_DeleteSvc('Isx74');
BC_DeleteSvc('Winnd68');
BC_DeleteSvc('wuauservWmiSchedule');
BC_DeleteSvc('wuauservBITS');
BC_DeleteSvc('WmiSchedule');
BC_DeleteSvc('WmiApSrvSwPrvLmHosts');
BC_DeleteSvc('winmgmtRemoteAccessScheduleWebClientShellHWDetection');
BC_DeleteSvc('winmgmtRemoteAccessScheduleWebClient');
BC_DeleteSvc('winmgmtRemoteAccessSchedule');
BC_DeleteSvc('winmgmtRemoteAccess');
BC_DeleteSvc('winmgmtNetDDEdsdm');
BC_DeleteSvc('winmgmtEventSystem');
BC_DeleteSvc('W32TimeRSVPwscsvc');
BC_DeleteSvc('W32TimeNVSvc');
BC_DeleteSvc('VSSDcomLaunch');
BC_DeleteSvc('upnphostNetDDEdsdmSysmonLogSwPrvLmHosts');
BC_DeleteSvc('upnphostNetDDEdsdm');
BC_DeleteSvc('TrkWksLmHosts');
BC_DeleteSvc('TrkWksDnscacheCiSvcRDSessMgr');
BC_DeleteSvc('TlntSvrsrserviceSENS');
BC_DeleteSvc('TlntSvrsrservice');
BC_DeleteSvc('TlntSvrNMIndexingService');
BC_DeleteSvc('TapiSrvPlugPlay');
BC_DeleteSvc('TapiSrvmnmsrvcNVSvc');
BC_DeleteSvc('SysmonLogSwPrvLmHosts');
BC_DeleteSvc('SwPrvLmHosts');
BC_DeleteSvc('SwPrvHidServRasAutoEventSystem');
BC_DeleteSvc('SSDPSRVose');
BC_DeleteSvc('srserviceSwPrvLmHostsATKKeyboardService');
BC_DeleteSvc('srserviceSwPrvLmHosts');
BC_DeleteSvc('SpoolerMSDTC');
BC_DeleteSvc('ShellHWDetectionRemoteAccess');
BC_DeleteSvc('SENSLmHostsSwPrvHidServRasAutoEventSystemNla');
BC_DeleteSvc('SENSLmHostsSwPrvHidServRasAutoEventSystem');
BC_DeleteSvc('SENSLmHostsNetDDEdsdm');
BC_DeleteSvc('SENSLmHostsAudioSrv');
BC_DeleteSvc('SENSLmHosts');
BC_DeleteSvc('RSVPwscsvc');
BC_DeleteSvc('RSVPwinmgmtRemoteAccessScheduleWebClient');
BC_DeleteSvc('RSVPHTTPFilterThemesNetlogon');
BC_DeleteSvc('RSVPHTTPFilterThemes');
BC_DeleteSvc('RSVPHTTPFilter');
BC_DeleteSvc('RasManSENSLmHostsAudioSrv');
BC_DeleteSvc('RasAutoEventSystem');
BC_DeleteSvc('ProtectedStoragemnmsrvcNVSvc');
BC_DeleteSvc('ProtectedStorageDhcp');
BC_DeleteSvc('PlugPlaysrserviceSwPrvLmHosts');
BC_DeleteSvc('NVSvcUMWdfRasManSENSLmHostsAudioSrv');
BC_DeleteSvc('NVSvcUMWdfMSIServerRpcLocatorNtLmSspERSvcaspnet_state');
BC_DeleteSvc('NVSvcUMWdf');
BC_DeleteSvc('NOD32krndmserver');
BC_DeleteSvc('MSIServerRpcLocatorNtLmSspERSvcaspnet_state');
BC_DeleteSvc('MSIServerRpcLocatorNtLmSsp');
BC_DeleteSvc('MSIServerRpcLocator');
BC_DeleteSvc('MSIServerMSIServerRpcLocator');
BC_DeleteSvc('mnmsrvcNVSvc');
BC_DeleteSvc('mnmsrvcMSIServerRpcLocatorNtLmSspERSvcaspnet_stateW32Time');
BC_DeleteSvc('mnmsrvcMSIServerRpcLocatorNtLmSspERSvcaspnet_statemnmsrvcMSIServerRpcLocatorNtLmSspERSvcaspnet_state');
BC_DeleteSvc('mnmsrvcMSIServerRpcLocatorNtLmSspERSvcaspnet_state');
BC_DeleteSvc('lanmanserverW32Time');
BC_DeleteSvc('ImapiServiceRemoteRegistry');
BC_DeleteSvc('ImapiServicemnmsrvcMSIServerRpcLocatorNtLmSspERSvcaspnet_statemnmsrvcMSIServerRpcLocatorNtLmSspERSvcaspnet_state');
BC_DeleteSvc('HTTPFilterupnphost');
BC_DeleteSvc('HTTPFilterSchedule');
BC_DeleteSvc('HidServRasAutoEventSystem');
BC_DeleteSvc('EventlogPolicyAgent');
BC_DeleteSvc('ERSvcLmHosts');
BC_DeleteSvc('ERSvcaspnet_state');
BC_DeleteSvc('Dnscachewinmgmt');
BC_DeleteSvc('DnscacheSwPrvLmHosts');
BC_DeleteSvc('DnscacheCOMSysApp');
BC_DeleteSvc('DnscacheCiSvcRDSessMgr');
BC_DeleteSvc('dmserverseclogonSENSLmHostsAudioSrv');
BC_DeleteSvc('dmserverseclogon');
BC_DeleteSvc('COMSysAppRasAuto');
BC_DeleteSvc('ClipSrvSysmonLog');
BC_DeleteSvc('ClipSrvPolicyAgent');
BC_DeleteSvc('CiSvcRDSessMgr');
BC_DeleteSvc('Browserlanmanserver');
BC_DeleteSvc('AudioSrvClipSrv');
BC_DeleteSvc('aspnet_stateNetlogon');
BC_ImportAll;
ExecuteSysClean;
BC_LogFile(GetAVZDirectory + 'boot_clr.log');
AddToLog('Файлы на удаление' +GETSERVICEFILE('AppMgmt'));
SaveLog(GetAVZDirectory+'avz_log.txt');
BC_Activate;
RebootWindows(true);
end.[/CODE]
Система перезагрузится.
Сделайте новый лог virusinfo_syscheck.zip, а также приложите файлы boot_clr.log и avz_log.txt из папки AVZ.
Добрый день
неделю был в командировке, поэтому не смог раньше написать
скрипт выполнил. правда файла boot_clr.log в папке не нашел
есть только avz_log.txt
очень медленно стал работать интернет. страница грузиться минуты 2. может ли это быть связано с уcтановкой SP3 или это вирус?
Выполните скрипт:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('C:\WINDOWS\System32\Drivers\Winnd68.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Isx74.sys');
BC_DeleteSvcReg('Isx74');
BC_DeleteSvcReg('Winnd68');
BC_DeleteSvcReg('wuauservWmiSchedule');
BC_DeleteSvcReg('wuauservBITS');
BC_DeleteSvcReg('WmiSchedule');
BC_DeleteSvcReg('WmiApSrvSwPrvLmHosts');
BC_DeleteSvcReg('winmgmtRemoteAccessScheduleWebClientShellHWDetection');
BC_DeleteSvcReg('winmgmtRemoteAccessScheduleWebClient');
BC_DeleteSvcReg('winmgmtRemoteAccessSchedule');
BC_DeleteSvcReg('winmgmtRemoteAccess');
BC_DeleteSvcReg('winmgmtNetDDEdsdm');
BC_DeleteSvcReg('winmgmtEventSystem');
BC_DeleteSvcReg('W32TimeRSVPwscsvc');
BC_DeleteSvcReg('W32TimeNVSvc');
BC_DeleteSvcReg('VSSDcomLaunch');
BC_DeleteSvcReg('upnphostNetDDEdsdmSysmonLogSwPrvLmHosts');
BC_DeleteSvcReg('upnphostNetDDEdsdm');
BC_DeleteSvcReg('TrkWksLmHosts');
BC_DeleteSvcReg('TrkWksDnscacheCiSvcRDSessMgr');
BC_DeleteSvcReg('TlntSvrsrserviceSENS');
BC_DeleteSvcReg('TlntSvrsrservice');
BC_DeleteSvcReg('TlntSvrNMIndexingService');
BC_DeleteSvcReg('TapiSrvPlugPlay');
BC_DeleteSvcReg('TapiSrvmnmsrvcNVSvc');
BC_DeleteSvcReg('SysmonLogSwPrvLmHosts');
BC_DeleteSvcReg('SwPrvLmHosts');
BC_DeleteSvcReg('SwPrvHidServRasAutoEventSystem');
BC_DeleteSvcReg('SSDPSRVose');
BC_DeleteSvcReg('srserviceSwPrvLmHostsATKKeyboardService');
BC_DeleteSvcReg('srserviceSwPrvLmHosts');
BC_DeleteSvcReg('SpoolerMSDTC');
BC_DeleteSvcReg('ShellHWDetectionRemoteAccess');
BC_DeleteSvcReg('SENSLmHostsSwPrvHidServRasAutoEventSystemNla');
BC_DeleteSvcReg('SENSLmHostsSwPrvHidServRasAutoEventSystem');
BC_DeleteSvcReg('SENSLmHostsNetDDEdsdm');
BC_DeleteSvcReg('SENSLmHostsAudioSrv');
BC_DeleteSvcReg('SENSLmHosts');
BC_DeleteSvcReg('RSVPwscsvc');
BC_DeleteSvcReg('RSVPwinmgmtRemoteAccessScheduleWebClient');
BC_DeleteSvcReg('RSVPHTTPFilterThemesNetlogon');
BC_DeleteSvcReg('RSVPHTTPFilterThemes');
BC_DeleteSvcReg('RSVPHTTPFilter');
BC_DeleteSvcReg('RasManSENSLmHostsAudioSrv');
BC_DeleteSvcReg('RasAutoEventSystem');
BC_DeleteSvcReg('ProtectedStoragemnmsrvcNVSvc');
BC_DeleteSvcReg('ProtectedStorageDhcp');
BC_DeleteSvcReg('PlugPlaysrserviceSwPrvLmHosts');
BC_DeleteSvcReg('NVSvcUMWdfRasManSENSLmHostsAudioSrv');
BC_DeleteSvcReg('NVSvcUMWdfMSIServerRpcLocatorNtLmSspERSvcaspnet_state');
BC_DeleteSvcReg('NVSvcUMWdf');
BC_DeleteSvcReg('NOD32krndmserver');
BC_DeleteSvcReg('MSIServerRpcLocatorNtLmSspERSvcaspnet_state');
BC_DeleteSvcReg('MSIServerRpcLocatorNtLmSsp');
BC_DeleteSvcReg('MSIServerRpcLocator');
BC_DeleteSvcReg('MSIServerMSIServerRpcLocator');
BC_DeleteSvcReg('mnmsrvcNVSvc');
BC_DeleteSvcReg('mnmsrvcMSIServerRpcLocatorNtLmSspERSvcaspnet_stateW32Time');
BC_DeleteSvcReg('mnmsrvcMSIServerRpcLocatorNtLmSspERSvcaspnet_statemnmsrvcMSIServerRpcLocatorNtLmSspERSvcaspnet_state');
BC_DeleteSvcReg('mnmsrvcMSIServerRpcLocatorNtLmSspERSvcaspnet_state');
BC_DeleteSvcReg('lanmanserverW32Time');
BC_DeleteSvcReg('ImapiServiceRemoteRegistry');
BC_DeleteSvcReg('ImapiServicemnmsrvcMSIServerRpcLocatorNtLmSspERSvcaspnet_statemnmsrvcMSIServerRpcLocatorNtLmSspERSvcaspnet_state');
BC_DeleteSvcReg('HTTPFilterupnphost');
BC_DeleteSvcReg('HTTPFilterSchedule');
BC_DeleteSvcReg('HidServRasAutoEventSystem');
BC_DeleteSvcReg('EventlogPolicyAgent');
BC_DeleteSvcReg('ERSvcLmHosts');
BC_DeleteSvcReg('ERSvcaspnet_state');
BC_DeleteSvcReg('Dnscachewinmgmt');
BC_DeleteSvcReg('DnscacheSwPrvLmHosts');
BC_DeleteSvcReg('DnscacheCOMSysApp');
BC_DeleteSvcReg('DnscacheCiSvcRDSessMgr');
BC_DeleteSvcReg('dmserverseclogonSENSLmHostsAudioSrv');
BC_DeleteSvcReg('dmserverseclogon');
BC_DeleteSvcReg('COMSysAppRasAuto');
BC_DeleteSvcReg('ClipSrvSysmonLog');
BC_DeleteSvcReg('ClipSrvPolicyAgent');
BC_DeleteSvcReg('CiSvcRDSessMgr');
BC_DeleteSvcReg('Browserlanmanserver');
BC_DeleteSvcReg('AudioSrvClipSrv');
BC_DeleteSvcReg('aspnet_stateNetlogon');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
Система перезагрузится. После перезагрузки в защищённом режиме выполните полное сканирование системы с помощью свежей версии [url=ftp://ftp.drweb.com/pub/drweb/cureit/setup.exe]CureIt[/url] или [url=http://devbuilds.kaspersky-labs.com/devbuilds/AVPTool/]AVPTool[/url]. Что найдёт - лечить, при невозможности лечения - удалять. [B]Обо всём найденном и вылеченном сообщите в этой ветке![/B]
После этого - сделайте повторный лог только согласно пункта 2 [URL="http://virusinfo.info/pravila.html"]Правил (Диагностика)[/URL]
[I]virusinfo_syscheck.zip[/I]
cure it ничего не нашел
в AVZ выполнил 1 стандартный скрипт
вот то, что выделилось красным
1.3 Проверка IDT и SYSENTER
Анализ для процессора 1
Анализ для процессора 2
[COLOR=Red]CmpCallCallBacks = 00093D84
Disable callback - уже нейтирализованы[/COLOR]
Проверка IDT и SYSENTER завершена
1.4 Поиск маскировки процессов и драйверов
[COLOR=Red]Маскировка процесса с PID=2164, имя = "verclsid.exe", полное имя = "\Device\HarddiskVolume1\WINDOWS\system32\verclsid.exe"
>> обнаружена подмена PID (текущий PID=2956, реальный = 2164)
>> обнаружена подмена имени, новое имя = "avz.exe"[/COLOR]
может в этом ничего опасного и нет
извините, за моё нубство
очень хотелось бы вернуть работоспособность интернета
Скачайте LiveCD, запишите образ на диск.
Просканируйте ПК. После сделайте новые логи и прикрепите к новому сообщению.
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]1[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]