Здраствуйте, не работает система печати. Есть подозрение на вирус. Dr.Web'ом почистил, но результат нулевой, службу печати запускал вручную тоже не помогло логи прикладываю.
Printable View
Здраствуйте, не работает система печати. Есть подозрение на вирус. Dr.Web'ом почистил, но результат нулевой, службу печати запускал вручную тоже не помогло логи прикладываю.
Народ помогите пожалуйста уже не знаю что делать.
Народ помогите кто нибудь уже сутки голову ломаю, не знаю что делать на вас последняя надежда.
Восстановление системы: включено --- Отключить.
профиксить:
[CODE]F2 - REG:system.ini: Shell=c:\windows\explorer.exe
F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe
O20 - Winlogon Notify: partnershipreg - C:\WINDOWS\
O21 - SSODL: DCOM Server 25319 - {2C1CD3D7-86AC-4068-93BC-A02304B25319} - C:\WINDOWS\system32\xxoq.dll (file missing)
O22 - SharedTaskScheduler: DCOM Server 25319 - {2C1CD3D7-86AC-4068-93BC-A02304B25319} - C:\WINDOWS\system32\xxoq.dll (file missing)
O22 - SharedTaskScheduler: sdgfdgdgdtj - {25AD49A2-94F3-42BD-F434-2604812C897D} - C:\WINDOWS\system32\sder4gh.dll[/CODE]
Выполнить скрипт:
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
SetAVZPMStatus(True);
QuarantineFile('C:\WINDOWS\system32\xxoq.dll','');
QuarantineFile('C:\WINDOWS\system32\ksys.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\onlslg.sys','');
DeleteService('System Event Browser');
QuarantineFile('C:\WINDOWS\system32\sysbrw32.exe','');
QuarantineFile('00000B48.sys','');
QuarantineFile('C:\WINDOWS\system32\zshp1020.exe','');
DeleteFile('00000B48.sys');
DeleteFile('C:\WINDOWS\system32\sysbrw32.exe');
DeleteFile('C:\WINDOWS\system32\blphcaauj0ep7c.scr');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler','{2C1CD3D7-86AC-4068-93BC-A02304B25319}');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad','DCOM Server 25319');
DeleteFile('C:\WINDOWS\system32\xxoq.dll');
ExecuteRepair(6);
ExecuteRepair(5);
ExecuteRepair(8);
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
Прислать карантин по Правилам.
сделать лог Гмером.
Логи AVZ повторить.
Карантин отправил, прицепляю логи. Лог гмера пришлось поместить в архив по другому выложить не получалось много весит. Заранее брагодарен.
[B]PavelA[/B], что дальше мне делать?
Выполнить:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
BC_DeleteSvc('dac970nt');
QuarantineFile('C:\WINDOWS\system32\drivers\iuekb.sys','');
DeleteFile('C:\WINDOWS\system32\drivers\iuekb.sys');
BC_DeleteSvc('iuekb');
DeleteFile('C:\WINDOWS\system32\drivers\onlslg.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
Повторить логи.
По карантину расскажу чуть позже.
прикрепляю новые логи новый карантин отправил
zshp1020.exe - чистый в первом карантине.
во втором, похоже, "свежачок".
Все лишнее убито, осталось проверить один файл.
Выполнить скрипт:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\ksys.sys','');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.[/CODE]
Прислать карантин по Правилам.
Карантин отправил.
выполнить скрипт:
[CODE]begin
BC_DeleteSvc('NDnet1');
DeleteFile('C:\WINDOWS\system32\ksys.sys');
BC_Importall;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
Повторить станд. скрипт №2. Лог прислать.
Скрипт выполнил прикрепляю лог
Все чисто. Проблемы есть?
[B]PavelA[/B], проблем больше нет, все работает, спасибо огромное за помощь.
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]3[/B][*]Обработано файлов: [B]4[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\windows\system32\drivers\iuekb.sys - [B]Rootkit.Win32.Agent.aiba[/B] ( BitDefender: Rootkit.Agent.AIZT, AVAST4: Win32:Rootkit-gen [Rtk] )[/LIST][/LIST]