В безопасном режиме проверил Cure It. Найденное прибил.
Далее по правилам.
Логи прикладываю.
Printable View
В безопасном режиме проверил Cure It. Найденное прибил.
Далее по правилам.
Логи прикладываю.
[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/URL] в Hijackthis:[CODE]R3 - URLSearchHook: (no name) - - (no file)
F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,\\?\globalroot\systemroot\system32\kwswubg.exe,[/CODE]
Отключите компьютер от интернета, а также [B]антивирус[/B] и/или [B]файрвол[/B].
Закройте все программы, выполните скрипт в AVZ:[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\Администратор\DoctorWeb\Quarantine\netprotocol.dll','');
QuarantineFile('C:\DOCUME~1\AC3D~1\LOCALS~1\Temp\esp8A25.tmp','');
QuarantineFile('C:\WINDOWS\system32\ykywhle.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\svchost.exe','');
QuarantineFile('c:\program files\viikiidesktopplugin\viikiidesktopplugin.exe','');
RegSearch('HKLM', '', 'esp8A25.tmp');
SaveLog(GetAVZDirectory + 'avz.log');
DeleteFile('C:\WINDOWS\system32\drivers\svchost.exe');
DeleteFile('C:\WINDOWS\system32\ykywhle.exe');
DeleteFile('C:\DOCUME~1\AC3D~1\LOCALS~1\Temp\esp8A25.tmp');
DeleteFile('C:\Documents and Settings\Администратор\DoctorWeb\Quarantine\netprotocol.dll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Generic Host for Win32 Services');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','SVCHOST.EXE');
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(20);
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится! Пришлите карантин по ссылке согласно правил [COLOR="DarkRed"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы. Сделайте новые логи по правилам + файл avz.log из папки AVZ прикрепите к своему сообщению
Карантин прислал.
Логи повторил.
При выполнении скрипта комп не перегрузился, показалось что "завис", пришлось помочь.
Закройте все программы, выполните скрипт в AVZ:[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
RegKeyDel('HKLM', 'SYSTEM\CurrentControlSet\Control\Print\Providers\6BF30BFD');
RegKeyDel('HKLM', 'SYSTEM\ControlSet002\Control\Print\Providers\6BF30BFD');
RegKeyDel('HKLM', 'SYSTEM\ControlSet001\Control\Print\Providers\6BF30BFD');
DeleteFile('C:\WINDOWS\system32\ykywhle.exe');
DeleteFile('C:\WINDOWS\system32\pngfixt.dll');
BC_DeleteFile('C:\WINDOWS\system32\ykywhle.exe');
DeleteFile('C:\DOCUME~1\AC3D~1\LOCALS~1\Temp\esp8A25.tmp');
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится! Сделайте новые логи [B]virusinfo_syscheck.zip[/B], [B]hijackthis.log[/B] и лог [URL="http://virusinfo.info/showthread.php?t=58309"][B]combofix[/B][/URL]
Выполнил.
После выполнения последних процедур перестали отображаться страницы в браузерах, хотя пинг проходит и до DNS провайдера и непосредственно до сайтов различных только по IP. При явном указании тишина. Пробовал открывать в браузере по IP тоже тишина. Логи отсылаю с другого компьютера.
Извините за причиненные неудобства
Скачайте файл во вложении и распакуйте.
Файл [B]afd.sys[/B] поместите в папку [B]system32\drivers[/B].
Информацию из файла [B]afd.reg[/B] внесите в реестр по двойному клику левой кнопкой мыши
Выполнил. Все заработало, спасибо. Лечение закончено, я так понимаю?
Первоначальная проблема решена?
Установите [url="http://www.microsoft.com/rus/windows/internet-explorer/default.aspx"]Internet Explorer 8[/url] (даже если им не пользуетесь)
Установите [url="www.adobe.com/products/acrobat/"]Adobe Acrobat 9.3[/url] или удалите старый
Все в порядке. Спасибо.
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]12[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\documents and settings\администратор\doctorweb\quarantine\netprotocol.dll - [B]Backdoor.Win32.Buterat.ll[/B] ( DrWEB: BackDoor.Siggen.20744, AVAST4: Win32:Zbot-MTV [Trj] )[/LIST][/LIST]