все темпы удалил. сделал логи.
Printable View
все темпы удалил. сделал логи.
Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{92780B25-18CC-41C8-B9BE-3C9C571A8263}');
DelBHO('{D2D7E2FF-DED8-4FBC-BC8F-83220BFED9E1}');
QuarantineFile('C:\WINDOWS\system32\avifil3.dll','');
QuarantineFile('C:\WINDOWS\system32\twex.exe','');
QuarantineFile('C:\Documents and Settings\Кадри\Application Data\sdra64.exe','');
QuarantineFile('C:\DOCUME~1\CAB5~1\LOCALS~1\Temp\QVSNUPT.bat','');
DeleteFile('C:\DOCUME~1\CAB5~1\LOCALS~1\Temp\QVSNUPT.bat');
DeleteFile('C:\Documents and Settings\Кадри\Application Data\sdra64.exe');
RegKeyParamDel('HKEY_USERS','S-1-5-21-1214440339-152049171-1957994488-1003\Software\Microsoft\Windows\CurrentVersion\Run','userinit');
DeleteFile('C:\WINDOWS\system32\twex.exe');
DeleteFile('C:\WINDOWS\system32\avifil3.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.
Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы
Сделайте новые логи
после перезагрузки под проблемной учёткой выскочило окно с ошибкой ""
Виндовс не может найти такой-то.bat
новые логи. карантин выслал.
Пофиксите в HiJack
[CODE]F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\twex.exe,
O2 - BHO: (no name) - {D2D7E2FF-DED8-4FBC-BC8F-83220BFED9E1} - C:\WINDOWS\system32\avifil3.dll (file missing)[/CODE]
Выполните скрипт в AVZ (в проблемной учетке)
[code]begin
DeleteFile('C:\DOCUME~1\CAB5~1\LOCALS~1\Temp\QVSNUPT.bat');
ExecuteSysClean;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.
Сделайте новые логи
в повторных логах HJ нету уже таких строк... они были в первом логе...
В реестре вручную поискал пути на проблемные батники и поудалял.
выкладываю следующую порцию логов.
Чисто
Установите SP3 (может потребоваться активация) + все новые заплатки
Установите Internet Explorer 8
[B]thyrex[/B], сделаю, а по логам вс в порядке?
Ведь написано
[QUOTE='thyrex;521528']Чисто[/QUOTE]
спасибо, тему можно крыть)
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]1[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\documents and settings\кадри\application data\sdra64.exe - [B]Trojan-Spy.Win32.Zbot.adav[/B] ( DrWEB: Trojan.PWS.Panda.171, BitDefender: Trojan.Generic.2781648, AVAST4: Win32:Zbot-MHI [Trj] )[/LIST][/LIST]
Рекомендации:
[LIST=1][*]Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли ![/LIST]