После чистки DrWeb и Nod стало возможно запустить диагностику. Файл прилагаю.
Printable View
После чистки DrWeb и Nod стало возможно запустить диагностику. Файл прилагаю.
Выполните скрипт
[code]begin
SearchRootkit(true,true);
SetAVZGuardStatus(true);
QuarantineFile('C:\DOCUME~1\Karmina\LOCALS~1\Temp\zrjrmcrfm.dll','');
QuarantineFile('F:\autorun.inf','');
QuarantineFile('C:\WINDOWS\system32\amvo.exe','');
QuarantineFile('F:\aaa\h.exe','');
DeleteFile('F:\aaa\h.exe');
DeleteFile('C:\WINDOWS\system32\amvo.exe');
DeleteFile('C:\DOCUME~1\Karmina\LOCALS~1\Temp\zrjrmcrfm.dll');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','amva');
DeleteFile('F:\autorun.inf');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('SCU', 2, 2, true);
ExecuteWizard('TSW', 2, 2, true);
RebootWindows(true);
end.[/code]
Пофиксите Hijackthis (если останется)
[code]O4 - HKCU\..\Run: [amva] C:\WINDOWS\system32\amvo.exe[/code]
Закачайте полученный карантин по красной ссылке вверху. Повторите логи
повторные логи
Nod не запускается. Пишется отказ по политике безопасности. Это последствия заражения?
Выполните скрипт
[code]Function DelAppInit_DLLsByFileName(zrjrmcrfm : string) : boolean;
var AppInit_DLLs: string;
begin
AppInit_DLLs := StringReplace(StringReplace(StringReplace(RegKeyStrParamRead('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs'), zrjrmcrfm, ''), ',,', ','), ' ', ' ');
If AppInit_DLLs <> '' then If (AppInit_DLLs[1] = ' ') or (AppInit_DLLs[1] = ',') then Delete(AppInit_DLLs, 1, 1);
If AppInit_DLLs <> '' then If (AppInit_DLLs[length (AppInit_DLLs)] = ' ') or (AppInit_DLLs[length (AppInit_DLLs)] = ',') then Delete(AppInit_DLLs, length (AppInit_DLLs), 1);
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs', AppInit_DLLs);
If RegKeyStrParamRead('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs') = AppInit_DLLs then Result := true;
end;
begin
DelAppInit_DLLsByFileName('zrjrmcrfm');
ExecuteRepair(6);
end.[/code]
Лог virusinfo_syscheck повторите
Скрипт выполнин. irusinfo_syscheck повторил. Nod запустился.
[code]Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)[/code]
Установите SP3 и вышедшие после него обновления (может потребоваться активация), обновите браузер до IE8
Спасибо