Нет доступа к сетевому принтеру

Printable View

29.10.2010, 15:07
IvanR

Нет доступа к сетевому принтеру

Пропал доступ к сетевому принтеру. Не открываются сайты DrWeb и Virusinfo.
29.10.2010, 16:47
Bratez

Пофиксите в HijackThis:
[code]
R3 - URLSearchHook: (no name) - {83821C2B-32A8-4DD7-B6D4-44309A78E668} - D:\Program Files\Mail.Ru\Agent\Mra\dll\newmrasearch.dll (file missing)
R3 - URLSearchHook: (no name) - - (no file)
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - D:\PROGRA~1\ICQ6\ICQ.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - D:\PROGRA~1\ICQ6\ICQ.exe (file missing)
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Program Files\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Program Files\ICQLite\ICQLite.exe (file missing)
[/code]
Выполните скрипт в AVZ:
[code]
Function RegKeyResetSecurityEx(ARoot, AName : string) : boolean;
var
i : integer;
KeyList : TStringList;
KeyName : string;
begin
RegKeyResetSecurity(ARoot, AName);
KeyList := TStringList.Create;
RegKeyEnumKey(ARoot, AName, KeyList);
for i := 0 to KeyList.Count-1 do
begin
KeyName := AName+'\'+KeyList[i];
RegKeyResetSecurity(ARoot, KeyName);
RegKeyResetSecurityEx(ARoot, KeyName);
end;
KeyList.Free;
end;
Function BC_ServiceKill(AServiceName : string; AIsSvcHosted : boolean = true) : byte;
var
i : integer;
KeyList : TStringList;
KeyName : string;
begin
Result := 0;
if StopService(AServiceName) then Result := Result or 1;
if DeleteService(AServiceName, not(AIsSvcHosted)) then Result := Result or 2;
KeyList := TStringList.Create;
RegKeyEnumKey('HKLM','SYSTEM', KeyList);
for i := 0 to KeyList.Count-1 do
if pos('controlset', LowerCase(KeyList[i])) > 0 then begin
KeyName := 'SYSTEM\'+KeyList[i]+'\Services\'+AServiceName;
if RegKeyExistsEx('HKLM', KeyName) then begin
Result := Result or 4;
RegKeyResetSecurityEx('HKLM', KeyName);
RegKeyDel('HKLM', KeyName);
if RegKeyExistsEx('HKLM', KeyName) then
Result := Result or 8;
end;
end;
if AIsSvcHosted then
BC_DeleteSvcReg(AServiceName)
else
BC_DeleteSvc(AServiceName);
KeyList.Free;
end;
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved','{F802F260-519B-11D1-BB5D-0060974C6013}');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved','{73B24247-042E-4EF5-ADC2-42F62E6FD654}');
DeleteFile('D:\WINDOWS\system32\01.tmp');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('abwhq');
BC_DeleteSvc('cfvfhogr');
BC_DeleteSvc('cwpif');
BC_DeleteSvc('dqezqikl');
BC_DeleteSvc('ffhctbe');
BC_DeleteSvc('flzpgta');
BC_DeleteSvc('ijrdjzeu');
BC_DeleteSvc('jphhw');
BC_DeleteSvc('kplgsfm');
BC_DeleteSvc('ktknx');
BC_DeleteSvc('lpkpptojw');
BC_DeleteSvc('mesmqnjdn');
BC_DeleteSvc('mhndcfobb');
BC_DeleteSvc('miurli');
BC_DeleteSvc('mlpnm');
BC_DeleteSvc('neazsyga');
BC_DeleteSvc('nhsvgc');
BC_DeleteSvc('noqjppk');
BC_DeleteSvc('nznwa');
BC_DeleteSvc('ofpiyosff');
BC_DeleteSvc('olqqolem');
BC_DeleteSvc('ooopmh');
BC_DeleteSvc('pfxsf');
BC_DeleteSvc('qwecbotcd');
BC_DeleteSvc('qznckgq');
BC_DeleteSvc('xajhobeck');
BC_DeleteSvc('zigfsp');
BC_DeleteSvc('zkokzj');
BC_ServiceKill('pqgkgb');
BC_ServiceKill('slptmg');
BC_ServiceKill('zqbpvtw');
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Сделайте новые логи.
03.11.2010, 13:20
IvanR

Новые логи.
03.11.2010, 13:25
polword

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,');
QuarantineFile('D:\WINDOWS\system32\fbca9d1.exe','');
DeleteFile('D:\WINDOWS\system32\fbca9d1.exe');
ClearHostsFile;
QuarantineFile('D:\WINDOWS\system32\cvvnaep.dll','');
DeleteFile('D:\WINDOWS\system32\cvvnaep.dll');
DeleteFileMask('D:\Documents and Settings\Администратор\Local Settings\Temporary Internet Files\Content.IE5', '*.*', true);
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun',221);
BC_Activate;
RebootWindows(true);
end.[/CODE]

После перезагрузки:
- выполните такой скрипт
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
- Файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ загрузите по ссылке [B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B] вверху темы
- Сделайте повторные логи по [URL="http://virusinfo.info/pravila_old.html"]правилам[/URL] п.2 и 3 раздела Диагностика.([COLOR="Blue"]virusinfo_syscheck.zip;hijackthis.log[/COLOR])
- Сделайте лог [URL="http://virusinfo.info/showpost.php?p=457118&postcount=1"][COLOR="Blue"][B]MBAM[/B][/COLOR][/URL]
03.11.2010, 14:56
IvanR

Карантин выслал.
Вот новые логи.
04.11.2010, 14:56
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]6[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] d:\\windows\\system32\\cvvnaep.dll - [B]Net-Worm.Win32.Kido.ih[/B] ( DrWEB: Win32.HLLW.Shadow.based, BitDefender: Win32.Worm.Downadup.Gen, NOD32: Win32/Conficker.X worm, AVAST4: Win32:Confi [Wrm] )[*] d:\\windows\\system32\\fbca9d1.exe - [B]Trojan.Win32.Refroso.cfgv[/B] ( DrWEB: Trojan.MulDrop.64715, BitDefender: Trojan.Generic.5052714, AVAST4: Win32:Malware-gen )[/LIST][/LIST]