При проверке AVZ выдает информацию "Подмена диспетчера задач", файл csrss.exe находится в Documents and Settings в пользователе, а не в system32. Файл не удаляется в Fare. При подключении флешки на ней создается файл авторун.
Printable View
При проверке AVZ выдает информацию "Подмена диспетчера задач", файл csrss.exe находится в Documents and Settings в пользователе, а не в system32. Файл не удаляется в Fare. При подключении флешки на ней создается файл авторун.
1. Отключите восстановление системы и антивирус.
2. Выполните скрипт в AVZ:
[CODE]begin
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
RegKeyParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Services\wuauserv', 'ImagePath', 'REG_EXPAND_SZ', '%SystemRoot%\System32\svchost.exe -k netsvcs');
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
DelBHO('{FFFC57DB-1DE3-4303-B24D-CEE6DCDD3D86}');
DelBHO('{CF272101-7F6E-4CF2-9453-B4C5D2FC32C0}');
QuarantineFile('C:\Documents and Settings\KSUshK@\csrss.exe','');
DeleteFile('C:\Documents and Settings\KSUshK@\csrss.exe');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteRepair(11);
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится!
3. Выполните скрипт в AVZ:
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
Загрузите файл quarantine.zip, используя ссылку [url]http://virusinfo.info/upload_virus.php?tid=74952[/url]
4. Повторите лог [B]virusinfo_syscheck.[/B]
Повтор лога virusinfo_syscheck
[QUOTE]Протокол антивирусной утилиты AVZ версии 4.32
Сканирование запущено в [COLOR="Red"]30.03.2010 19:55:48[/COLOR][/QUOTE]
Я этот лог уже смотрела. Переделывайте...
Дико извиняюсь притормозил.
Сейчас надеюсь правильно, и с подменой диспетчера задач мы справимся.
Ничего зловредного в логах не увидела.
[QUOTE]>>> Обратите внимание - нестандартный диспетчер задач "TASKMAN.EXE"[/QUOTE]
Это нормально...
[QUOTE='Aleksandra;613691']Цитата:
>>> Обратите внимание - нестандартный диспетчер задач "TASKMAN.EXE"
Это нормально...[/QUOTE]:)
И все же Swaak выполните скрипт в AVZ
[code]begin
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
RebootWindows(true);
end. [/code]Компьютер перезагрузится.
О подмене больше не упоминается?
Большое спасибо, комп вылечили.
Александра вы супер.
[size="1"][color="#666686"][B][I]Добавлено через 39 секунд[/I][/B][/color][/size]
[B]thyrex[/B], Большое спасибо
Установите [URL="http://www.microsoft.com/downloads/details.aspx?FamilyID=5b33b5a8-5e76-401f-be08-1e1555d4f3d4&displaylang=ru"]SP3[/URL] (может потребоваться активация) + все новые заплатки
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]1[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\documents and settings\ksushk@\csrss.exe - [B]P2P-Worm.Win32.Palevo.aala[/B] ( DrWEB: Trojan.Packed.19696 )[/LIST][/LIST]