Стоял агент Drweb ES - но не работало Spider Guard - решил переустановить агента - удалил, установить не дает, на сайты веб,авз и т.п. не дает заходить - на яндекс гугл легко. Также открывает при запуске "мои документы".
логи приложил
Printable View
Стоял агент Drweb ES - но не работало Spider Guard - решил переустановить агента - удалил, установить не дает, на сайты веб,авз и т.п. не дает заходить - на яндекс гугл легко. Также открывает при запуске "мои документы".
логи приложил
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,');
DeleteService('systemntmi');
QuarantineFile('C:\WINDOWS\system32\drivers\systemntmi.sys','');
QuarantineFile('C:\WINDOWS\system32\wisdstr.exe','');
QuarantineFile('C:\WINDOWS\system32\86f8b90d.exe','');
QuarantineFile('C:\WINDOWS\cfdrive32.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1455\psysnew.exe','');
QuarantineFile('C:\Program Files\Internet Explorer\setupapi.dll','');
QuarantineFile('C:\Documents and Settings\Администратор\Application Data\oekx.exe,C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1455\psysnew.exe,explorer.exe,C:\Documents and Settings\Admin\Application Data\oekx.exe','');
QuarantineFile('C:\Documents and Settings\Администратор\Application Data\oekx.exe','');
DeleteService('fips32cup');
QuarantineFile('C:\WINDOWS\system32\drivers\fips32cup.sys','');
QuarantineFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\XJg97zI4.sys','');
QuarantineFile('c:\windows\cfdrive32.exe','');
TerminateProcessByName('c:\windows\cfdrive32.exe');
DeleteFile('c:\windows\cfdrive32.exe');
DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\XJg97zI4.sys');
DeleteFile('C:\Documents and Settings\Администратор\Application Data\oekx.exe');
DeleteFile('C:\Documents and Settings\Администратор\Application Data\oekx.exe,C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1455\psysnew.exe,explorer.exe,C:\Documents and Settings\Admin\Application Data\oekx.exe');
DeleteFile('C:\Program Files\Internet Explorer\setupapi.dll');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1455\psysnew.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','psysnew');
RegKeyParamDel('HKEY_LOCAL_MACHINE','System\CurrentControlSet\Control\Session Manager\AppCertDlls','DefaultVerifier');
DeleteFile('C:\WINDOWS\cfdrive32.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
DeleteFile('C:\WINDOWS\system32\86f8b90d.exe');
DeleteFile('C:\WINDOWS\system32\wisdstr.exe');
DeleteFile('C:\WINDOWS\system32\drivers\systemntmi.sys');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman ');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(11);
ExecuteRepair(20);
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun',221);
BC_Activate;
RebootWindows(true);
end.[/CODE]
После перезагрузки:
- выполните такой скрипт
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
- Файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ загрузите по ссылке [B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B] вверху темы
- Сделайте повторные логи по [URL="http://virusinfo.info/pravila_old.html"]правилам[/URL] п.2 и 3 раздела Диагностика.([COLOR="Blue"]virusinfo_syscheck.zip;hijackthis.log[/COLOR])
- Сделайте лог [URL="http://virusinfo.info/showpost.php?p=457118&postcount=1"][COLOR="Blue"][B]MBAM[/B][/COLOR][/URL]
Выполнил.
Файл сохранён как 101125_091847_quarantine_4cedffc744049.zip
Размер файла 367573
MD5 3cbec25b67fa41dd0b2f4e17dbdb6eb8
Логи приложил.
1. [URL="http://virusinfo.info/showpost.php?p=493584&postcount=2"]удалите[/URL] в [B]MBAM[/B]
[CODE]
Зараженные ключи в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DRM\amty (Worm.Autorun) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\MyCentria (Adware.MyCentria) -> No action taken.
Зараженные параметры в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\nofolderoptions (Hijack.FolderOptions) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_1 (Rootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_2 (Rootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_3 (Rootkit.Agent) -> No action taken.
Зараженные папки:
C:\Program Files\Common Files\wm\keys (Trojan.KeyLog) -> No action taken.
C:\Program Files\MyCentria (Adware.MyCentria) -> No action taken.
C:\Program Files\MyCentria\Firefox (Adware.MyCentria) -> No action taken.
C:\Program Files\MyCentria\InfoBar (Adware.MyCentria) -> No action taken.
Зараженные файлы:
C:\Program Files\DrWeb Enterprise Suite\Infected.!!!\cfdrive32.exe-4070c40b-d21d-b211-a6a8-8007622b01b4 (Backdoor.Bot) -> No action taken.
C:\Program Files\DrWeb Enterprise Suite\Infected.!!!\cfdrive32.exe-40bce738-d21d-b211-aac0-b805d12595f6 (Trojan.Agent) -> No action taken.
C:\Program Files\DrWeb Enterprise Suite\Infected.!!!\cfdrive32.exe-50c1e5be-d11d-b211-a909-9c056532ab83 (Backdoor.Bot) -> No action taken.
C:\Program Files\DrWeb Enterprise Suite\Infected.!!!\cfdrive32.exe-b0bc6e67-d21d-b211-9417-cc0716354c06 (Backdoor.Bot) -> No action taken.
C:\Program Files\DrWeb Enterprise Suite\Infected.!!!\psysnew.exe-301e8bbe-d11d-b211-a908-9c056532ab83 (Backdoor.Bot) -> No action taken.
C:\Program Files\DrWeb Enterprise Suite\Infected.!!!\cfdrive32.exe-10816efb-d11d-b211-bc29-9807a8836087 (Trojan.VirTool) -> No action taken.
C:\WINDOWS\system32\vfp8rrus.dll (Malware.Packer.Gen) -> No action taken.
C:\Documents and Settings\Администратор\Local Settings\Temp\1361323.exe (Backdoor.Bot) -> No action taken.
C:\Documents and Settings\Администратор\Local Settings\Temp\152015.exe (Trojan.Agent) -> No action taken.
C:\Documents and Settings\Администратор\Local Settings\Temp\178.exe (Backdoor.Bot) -> No action taken.
C:\Documents and Settings\Администратор\Local Settings\Temp\18201.exe (Backdoor.Bot) -> No action taken.
C:\Documents and Settings\Администратор\Local Settings\Temp\1829.exe (Backdoor.Bot) -> No action taken.
C:\Documents and Settings\Администратор\Local Settings\Temp\1969338.exe (Backdoor.Bot) -> No action taken.
C:\Documents and Settings\Администратор\Local Settings\Temp\210.exe (Heuristics.Shuriken) -> No action taken.
C:\Documents and Settings\Администратор\Local Settings\Temp\2121393.exe (Backdoor.Bot) -> No action taken.
C:\Documents and Settings\Администратор\Local Settings\Temp\213.exe (Backdoor.Bot) -> No action taken.
C:\Documents and Settings\Администратор\Local Settings\Temp\21758.exe (Backdoor.Bot) -> No action taken.
C:\Documents and Settings\Администратор\Local Settings\Temp\2433.exe (Backdoor.Bot) -> No action taken.
C:\Documents and Settings\Администратор\Local Settings\Temp\247.exe (Trojan.Agent) -> No action taken.
C:\Documents and Settings\Администратор\Local Settings\Temp\2613.exe (Backdoor.Bot) -> No action taken.
C:\Documents and Settings\Администратор\Local Settings\Temp\300.exe (Backdoor.Bot) -> No action taken.
C:\Documents and Settings\Администратор\Local Settings\Temp\0044.exe (Backdoor.Bot) -> No action taken.
C:\Documents and Settings\Администратор\Local Settings\Temp\0113473.exe (Trojan.Agent) -> No action taken.
C:\Documents and Settings\Администратор\Local Settings\Temp\0157.exe (Backdoor.Bot) -> No action taken.
C:\Documents and Settings\Администратор\Local Settings\Temp\08077.exe (Backdoor.Bot) -> No action taken.
C:\Documents and Settings\Администратор\Local Settings\Temp\0809256.exe (Trojan.Agent) -> No action taken.
C:\Documents and Settings\Администратор\Local Settings\Temp\59450.exe (Backdoor.Bot) -> No action taken.
C:\Documents and Settings\Администратор\Local Settings\Temp\60655.exe (Backdoor.Bot) -> No action taken.
C:\Documents and Settings\Администратор\Local Settings\Temp\6732.exe (Backdoor.Bot) -> No action taken.
C:\Documents and Settings\Администратор\Local Settings\Temp\674.exe (Backdoor.Bot) -> No action taken.
C:\Documents and Settings\Администратор\Local Settings\Temp\689.exe (Backdoor.Bot) -> No action taken.
C:\Documents and Settings\Администратор\Local Settings\Temp\726.exe (Backdoor.Bot) -> No action taken.
C:\Documents and Settings\Администратор\Local Settings\Temp\7292249.exe (Backdoor.Bot) -> No action taken.
C:\Documents and Settings\Администратор\Local Settings\Temp\7473.exe (Trojan.Agent) -> No action taken.
C:\Documents and Settings\Администратор\Local Settings\Temp\812.exe (Backdoor.Bot) -> No action taken.
C:\Documents and Settings\Администратор\Local Settings\Temp\872803.exe (Backdoor.Bot) -> No action taken.
C:\Documents and Settings\Администратор\Local Settings\Temp\8899794.exe (Backdoor.Bot) -> No action taken.
C:\Documents and Settings\Администратор\Local Settings\Temp\926661.exe (Worm.Autorun) -> No action taken.
C:\Documents and Settings\Администратор\Local Settings\Temp\932.exe (Backdoor.Bot) -> No action taken.
C:\Documents and Settings\Администратор\Local Settings\Temp\940689.exe (Backdoor.Bot) -> No action taken.
C:\Documents and Settings\Администратор\Local Settings\Temp\951.exe (Trojan.Agent) -> No action taken.
C:\Documents and Settings\Администратор\Local Settings\Temp\3254822.exe (Backdoor.Bot) -> No action taken.
C:\Documents and Settings\Администратор\Local Settings\Temp\32892.exe (Backdoor.Bot) -> No action taken.
C:\Documents and Settings\Администратор\Local Settings\Temp\349114.exe (Backdoor.Bot) -> No action taken.
C:\Documents and Settings\Администратор\Local Settings\Temp\35895.exe (Backdoor.Bot) -> No action taken.
C:\Documents and Settings\Администратор\Local Settings\Temp\37399.exe (Backdoor.Bot) -> No action taken.
C:\Documents and Settings\Администратор\Local Settings\Temp\40427.exe (Backdoor.Bot) -> No action taken.
C:\Documents and Settings\Администратор\Local Settings\Temp\417058.exe (Backdoor.Bot) -> No action taken.
C:\Documents and Settings\Администратор\Local Settings\Temp\460.exe (Backdoor.Bot) -> No action taken.
C:\Documents and Settings\Администратор\Local Settings\Temp\4969.exe (Backdoor.Bot) -> No action taken.
C:\Documents and Settings\Администратор\Local Settings\Temp\503.exe (Backdoor.Bot) -> No action taken.
C:\Documents and Settings\Администратор\Local Settings\Temp\5130313.exe (Backdoor.Bot) -> No action taken.
C:\Documents and Settings\Администратор\Local Settings\Temp\52204.exe (Backdoor.Bot) -> No action taken.
C:\Documents and Settings\Администратор\Local Settings\Temp\5649780.exe (Backdoor.Bot) -> No action taken.
C:\Documents and Settings\Администратор\Local Settings\Temp\5663.exe (Backdoor.Bot) -> No action taken.
C:\Documents and Settings\Администратор\Local Settings\Temp\57742.exe (Trojan.Ircbrute) -> No action taken.
C:\Documents and Settings\Администратор\Local Settings\Temporary Internet Files\Content.IE5\JQKE0UW7\serv6[1].exe (Trojan.Agent) -> No action taken.
C:\Documents and Settings\Администратор\Local Settings\Temporary Internet Files\Content.IE5\JQKE0UW7\psjefwbh[1]._ (Backdoor.Bot) -> No action taken.
C:\Documents and Settings\Администратор\Local Settings\Temporary Internet Files\Content.IE5\SWJNQECV\foxjbewj[1]._ (Backdoor.Bot) -> No action taken.
C:\Documents and Settings\Администратор\Application Data\avdrn.dat (Malware.Trace) -> No action taken.
C:\Documents and Settings\Admin\Application Data\oekx.exe (Worm.Palevo) -> No action taken.
C:\Documents and Settings\Администратор\Application Data\oekx.exe (Worm.Palevo) -> No action taken.
C:\Documents and Settings\Администратор\Application Data\wiaserva.log (Malware.Trace) -> No action taken.
C:\Program Files\Common Files\keylog.txt (Malware.Trace) -> No action taken.
C:\Documents and Settings\Администратор\oashdihasidhasuidhiasdhiashdiuasdhasd (Malware.Trace) -> No action taken.
[/CODE]
2. [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
QuarantineFile('G:\myfolder\myfile.exe','');
QuarantineFile('G:\autorun.inf','');
DeleteFile('G:\autorun.inf');
DeleteFile('G:\myfolder\myfile.exe');
DeleteFileMask('C:\Documents and Settings\Администратор\Local Settings\Temporary Internet Files\Content.IE5', '*.*', true);
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
После перезагрузки:
- Файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ загрузите по ссылке [B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B] вверху темы
- Сделайте повторный лог [COLOR="Blue"]virusinfo_syscheck.zip[/COLOR];
- Сделайте лог [URL="http://virusinfo.info/showpost.php?p=457118&postcount=1"][COLOR="Blue"][B]MBAM[/B][/COLOR][/URL]
Выполнил.
Файл сохранён как 101126_043457_quarantine_4cef0ec17afa2.zip
Размер файла 75310
MD5 46e6f524cb02e2afd473f6aeb7392e37
Логи прикрепил
Удалите в МВАМ:
[CODE]Зараженные параметры в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\nofolderoptions (Hijack.FolderOptions) -> No action taken.[/CODE]
Больше ничего плохого не видно.
Улучшилось - стал работать нормально браузер и запускается установщик агента ЕС - но оказалось что вылетает ошибка svchost.exe "Инструкция по адресу 0x6fe217c2 обратилась к памяти по адресу 0x6fe217c2..." и система начинает зависать
- сделайте лог [URL="http://defendium.info/showthread.php/104"][COLOR="Blue"][B]Combofix[/B][/COLOR][/URL]
Ваша ссылка не открылась - скачал с оф. сайта - лог приложил.
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
QuarantineFile('c:\windows\system32\braviax.exe','');
QuarantineFile('c:\documents and settings\Администратор\Администратор.exe','');
DeleteFile('c:\windows\system32\regedit.exe');
DeleteFile('c:\recycler\S-1-5-21-0243556031-888888379-781863308-1455\psysnew.exe');
DeleteFile('c:\windows\system32\braviax.exe');
if FileExists ('%windir%\system32\sfcfiles.dll') then
begin
if CheckFile('%windir%\system32\sfcfiles.dll')=3 then
begin
QuarantineFile('%windir%\system32\Drivers\sfc.SYS','');
QuarantineFile('%windir%\system32\sfcfiles.dll','');
QuarantineFile('%windir%\system32\mssfc.dll','');
DeleteFile('%windir%\system32\drivers\sfc.sys');
DeleteFile('%windir%\system32\mssfc.dll');
AddToLog('%windir%\system32\sfcfiles.dll прошел по базе безопасных');
end
else
begin
AddToLog('%windir%\system32\sfcfiles.dll не прошел по базе безопасных');
QuarantineFile('%windir%\system32\Drivers\sfc.SYS','');
QuarantineFile('%windir%\system32\sfcfiles.dll','');
QuarantineFile('%windir%\system32\mssfc.dll','');
DeleteFile('%windir%\system32\drivers\sfc.sys');
DeleteFile('%windir%\system32\mssfc.dll');
RenameFile('%windir%\system32\sfcfiles.dll', '%windir%\system32\sfcfiles.bak');
if FileExists ('%windir%\system32\dllcache\sfcfiles.dll') then
begin
if CheckFile('%windir%\system32\dllcache\sfcfiles.dll')=3 then
begin
CopyFile('%windir%\system32\dllcache\sfcfiles.dll','%windir%\system32\sfcfiles.dll');
AddToLog('Замена sfcfiles.dll успешно произведена из кеша');
end
else
begin
AddToLog('файл sfcfiles.dll в кеше не прошел по базе безопасных');
SaveLog('sfcfiles.log');
if FileExists ('%windir%\ServicePackFiles\i386\sfcfiles.dll') then
begin
if CheckFile('%windir%\ServicePackFiles\i386\sfcfiles.dll')=3 then
begin
CopyFile('%windir%\ServicePackFiles\i386\dllcache\sfcfiles.dll','%windir%\system32\sfcfiles.dll');
AddToLog('Замена sfcfiles.dll успешно произведена из i386');
end
else
begin
AddToLog('файл sfcfiles.dll в i386 не прошел по базе безопасных');
end;
end
else
begin
AddToLog('Файл sfcfiles.dll отсутствует в i386');
end;
end;
end
else
begin
AddToLog('Файл sfcfiles.dll отсутствует в кеше');
if FileExists ('%windir%\ServicePackFiles\i386\sfcfiles.dll') then
begin
if CheckFile('%windir%\ServicePackFiles\i386\sfcfiles.dll')=3 then
begin
CopyFile('%windir%\ServicePackFiles\i386\dllcache\sfcfiles.dll','%windir%\system32\sfcfiles.dll');
AddToLog('Замена sfcfiles.dll успешно произведена из i386');
end
else
begin
AddToLog('файл sfcfiles.dll в i386 не прошел по базе безопасных');
end;
end
else
begin
AddToLog('Файл sfcfiles.dll отсутствует в i386');
end;
end;
DeleteFile('%windir%\system32\sfcfiles.bak');
end;
end
else
begin
AddToLog('файл sfcfiles.dll отсутствует в %windir%\system32\');
QuarantineFile('%windir%\system32\Drivers\sfc.SYS','');
QuarantineFile('%windir%\system32\mssfc.dll','');
DeleteFile('%windir%\system32\drivers\sfc.sys');
DeleteFile('%windir%\system32\mssfc.dll');
if FileExists ('%windir%\system32\dllcache\sfcfiles.dll') then
begin
if CheckFile('%windir%\system32\dllcache\sfcfiles.dll')=3 then
begin
CopyFile('%windir%\system32\dllcache\sfcfiles.dll','%windir%\system32\sfcfiles.dll');
AddToLog('Замена sfcfiles.dll успешно произведена из кеша');
end
else
begin
AddToLog('файл sfcfiles.dll в кеше не прошел по базе безопасных');
SaveLog('sfcfiles.log');
if FileExists ('%windir%\ServicePackFiles\i386\sfcfiles.dll') then
begin
if CheckFile('%windir%\ServicePackFiles\i386\sfcfiles.dll')=3 then
begin
CopyFile('%windir%\ServicePackFiles\i386\dllcache\sfcfiles.dll','%windir%\system32\sfcfiles.dll');
AddToLog('Замена sfcfiles.dll успешно произведена из i386');
end
else
begin
AddToLog('файл sfcfiles.dll в i386 не прошел по базе безопасных');
end;
end
else
begin
AddToLog('Файл sfcfiles.dll отсутствует в i386');
end;
end;
end
else
begin
AddToLog('Файл sfcfiles.dll отсутствует в кеше');
SaveLog('sfcfiles.log');
if FileExists ('%windir%\ServicePackFiles\i386\sfcfiles.dll') then
begin
if CheckFile('%windir%\ServicePackFiles\i386\sfcfiles.dll')=3 then
begin
CopyFile('%windir%\ServicePackFiles\i386\dllcache\sfcfiles.dll','%windir%\system32\sfcfiles.dll');
AddToLog('Замена sfcfiles.dll успешно произведена из i386');
end
else
begin
AddToLog('файл sfcfiles.dll в i386 не прошел по базе безопасных');
end;
end
else
begin
AddToLog('Файл sfcfiles.dll отсутствует в i386');
end;
end;
DeleteFile('%windir%\system32\sfcfiles.bak');
end;
SaveLog('sfcfiles.log');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteFile('%windir%\System32\sfcfiles.bak');
BC_DeleteSvc('sfc');
BC_Activate;
RebootWindows(true);
end.[/CODE]
После перезагрузки:
- выполните такой скрипт
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
- Файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ загрузите по ссылке [B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B] вверху темы
- файл [COLOR="Blue"][B]sfcfiles.log[/B][/COLOR] прикрепите к сообщению
- сделайте повторный лог [URL="http://virusinfo.info/showthread.php?t=58309"][COLOR="Blue"][B]Combofix[/B][/COLOR][/URL]
Скрипт выполнил, карантин прислал(
Файл сохранён как 101201_070755_quarantine_4cf5ca1b613a8.zip
Размер файла 2352
MD5 ed8545060d253bee7af0ac498f48604b).
Логи прикрепил.Единственное - комбофикс не получается обновить(
c:\windows\System32\sfcfiles.dll восстановите с дистрибутива [url]http://virusinfo.info/showthread.php?t=51654[/url]
Выполните скрипт в AVZ
[code]begin
ExpRegKey('HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'c:\winlogon.log');
end.[/code]Файл [b]c:\winlogon.log[/b] прикрепите к сообщению
а также скопируйте текст ниже в блокнот и сохраните как файл с названием [COLOR="Blue"][B]CFScript.txt[/B][/COLOR] на рабочий стол.
[CODE]
KillAll::
File::
c:\windows\pss\rncsys32.exeStartup
c:\documents and settings\Администратор\Главное меню\Программы\Автозагрузка\rncsys32.exe
Driver::
NetSvc::
Folder::
Registry::
[-HKLM\~\startupfolder\C:^Documents and Settings^Администратор^Главное меню^Программы^Автозагрузка^rncsys32.exe]
FileLook::
DirLook::[/CODE]
После сохранения переместите [COLOR="Blue"][B]CFScript.txt[/B][/COLOR] на пиктограмму [B]ComboFix.exe[/B].
[IMG]http://i076.radikal.ru/1003/e5/554faea12baf.gif[/IMG]
Когда сохранится новый отчет [B]ComboFix.txt[/B], прикрепите его к сообщению.
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]3[/B][*]Обработано файлов: [B]35[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\documents and settings\\администратор\\application data\\oekx.exe - [B]Trojan.Win32.Pincav.alda[/B] ( DrWEB: Win32.HLLW.Autoruner.22584, BitDefender: Trojan.Generic.KDV.71693, AVAST4: Win32:AutoRun-BRP [Trj] )[*] c:\\recycler\\s-1-5-21-0243556031-888888379-781863308-1455\\psysnew.exe - [B]Trojan.Win32.VB.amxz[/B] ( DrWEB: Trojan.DownLoader1.39442, BitDefender: Trojan.Generic.5207346, NOD32: Win32/Lethic.AA trojan, AVAST4: Win32:Malware-gen )[*] c:\\windows\\cfdrive32.exe - [B]Trojan.Win32.VB.amyb[/B] ( DrWEB: BackDoor.IRC.Bot.166, BitDefender: Trojan.Generic.5193404, AVAST4: Win32:Malware-gen )[*] g:\\myfolder\\myfile.exe - [B]Trojan.Win32.Pincav.alda[/B] ( DrWEB: Win32.HLLW.Autoruner.22584, BitDefender: Trojan.Generic.KDV.71693, AVAST4: Win32:AutoRun-BRP [Trj] )[/LIST][/LIST]