Ilite internet acсselerator вроде бы исчез сам.А ровно через месяц вылез Internet Security. Сделал всё как сказано в хелпе. Вот логи. Заранее спасибо.
Ilite internet acсselerator вроде бы исчез сам.А ровно через месяц вылез Internet Security. Сделал всё как сказано в хелпе. Вот логи. Заранее спасибо.
Выполнить скрипт:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\Администратор\Local Settings\Temp\e.exe','');
TerminateProcessByName('c:\windows\explorer.exe:userini.exe');
QuarantineFile('c:\windows\explorer.exe:userini.exe','');
DeleteFile('c:\windows\explorer.exe:userini.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','userini');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','userini');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','userini');
DeleteFile('c:\windows\explorer.exe:userini.exe:$DATA');
DeleteFile('C:\Documents and Settings\Администратор\Local Settings\Temp\e.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
Повторить логи заново.
Загрузить карантин по Правилам.
Выполнил скрипт. Скидываю новые логи и карантин!
Посмотрите повторные логи! Заранее спасибо!)
в карантине был: Trojan-Ransom.Win32.XBlocker.ae
профиксить:
[CODE]F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe[/CODE]
Запустить для деинсталлячии: [CODE]C:\Documents and Settings\Rumyntcev\Local Settings\Temp\_uninst_setup_9.0.0.722_28.01.2010_17-04.exe.bat[/CODE]
[FONT=Arial][SIZE=3][COLOR=Black]Профиксил в [/COLOR][/SIZE][/FONT][FONT=Arial][SIZE=3][COLOR=Black]HijackThis. Но далее у меня возникает проблема! Что значит " Запустить для деинсталляции".;) По предложенному пути такого файла не обнаружено! А через ПУСК-ВЫПОЛНИТЬ пишет что неправильный путь и всё такое!:( Подскажите что имелось в виду.
И ещё, требуется ли после всех манипуляций высылать новые логи?
[/COLOR][/SIZE][/FONT]
Через Пуск - Выполнить надо путь к файлу взять в кавычки, поскольку он с пробелами.
Что-то всё равно не находит ПК такой файл! В той папке есть только utt746.tmp.bat, а других файлов с расширением *.bat нет. И ещё, цифры в названии файла,путь к которому вы дали, совпадают с названием папки в которой был AVP (папка Virus Removal Tool, а в ней папка setup_9.0.0.722_28.01.2010_17-04), но она пуста. Объясните поконкретнее (и желательно по проще)))) как поступить??? Заранее спасибо!!
Что-то всё равно не находит ПК такой файл! В той папке есть только utt746.tmp.bat, а других файлов с расширением *.bat нет. И ещё, цифры в названии файла,путь к которому вы дали, совпадают с названием папки в которой был AVP (папка Virus Removal Tool, а в ней папка setup_9.0.0.722_28.01.2010_17-04), но она пуста. Объясните поконкретнее (и желательно по проще)))) как поступить??? Заранее спасибо!!
Пожалуйста ответе на вопрос!!!
Выполнить скрипт:
[CODE]begin
DeleteFile('C:\Documents and Settings\Rumyntcev\Local Settings\Temp\_uninst_setup_9.0.0.722_28.01.2010_17-04.exe.bat');
ExecutesysClean;
end.[/CODE]
повторить станд. скрипт №2. Лог прислать.
Вот это было понятно!Спасибо огромное!!!:clapping:. Высылаю скрипт.
В смысле лог(((
Через AVZ - Файл -- Мастер поиска и устранения проблем - Все проблемы
разберитесь с этим:
>> Таймаут завершения процессов находится за пределами допустимых значений
>> Таймаут завершения служб находится за пределами допустимых значений
>> Таймаут, по истечению которого принимается решение о том, что процесс не отвечает, находится за пределами допустимых значений
>> Заблокирован пункт меню Справка и техподдержка
>> Разрешен автозапуск с HDD
>> Разрешен автозапуск с сетевых дисков
>> Разрешен автозапуск со сменных носителей
На этом лечение можно закончить.
Спасибо вам огромное за качественную и своевременную помощь!
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]2[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\documents and settings\администратор\local settings\temp\e.exe - [B]Trojan-Ransom.Win32.XBlocker.ae[/B] ( DrWEB: Trojan.Winlock.1023 )[/LIST][/LIST]