Printable View
[quote=kps;213767]
Пришлите карантин.
[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите в HijackThis[/URL]:
[code]O20 - Winlogon Notify: partnershipreg - C:\WINNT\
O20 - Winlogon Notify: WLCtrl32 - C:\WINNT\[/code]
Сделайте новые логи.
[/quote]
сделал
[quote=kps;213767]
Вот это Вам знакомо?
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = campus.muh.ru[/quote]
ну конечно знакомо, это наш домен.
R:\media.exe TR/Agent.3584.178
выполните скрипт ...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('R:\autorun.inf');
DeleteFile('R:\media.exe');
DeleteFile('C:\WINNT\msiutil.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
повторите логи ...
И еще R:\ - это что, флешка? Если да, то выполняйте скрипт от [b]V_Bond[/b] при подключенной флешке.
Нет. R это сетевой диск
Сделал новые логи
авз - сервис - актив сетап - удалите C:\WINNT\msiutil.exe
насчет R:\ у вас нет прав на этот диск ... обращайтесь к админу ...
Сделал.
Насчет диска, то черт с ним. Там есть папки как с полным доступом, так и закрытыми вовсе. Так и задуманно.
Значит все? Наконец-то? :D
у вас все .... но зараза будет лезть из сети ...
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]4[/B][*]Обработано файлов: [B]24[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\autoex.dll - [B]not-a-virus:AdWare.Win32.BHO.ajq[/B] (DrWEB: Trojan.DownLoader.59758)[*] c:\\documents and settings\\all users\\документы\\settings\\partnership.dll - [B]Trojan-Proxy.Win32.Xorpix.ds[/B] (DrWEB: Trojan.Proxy.3093)[*] c:\\documents and settings\\default user\\cftmon.exe - [B]Worm.Win32.Socks.au[/B] (DrWEB: Trojan.DownLoader.56630)[*] c:\\documents and settings\\emitichkina.campus.001\\cftmon.exe - [B]Worm.Win32.Socks.au[/B] (DrWEB: Trojan.DownLoader.56630)[*] c:\\documents and settings\\администратор\\cftmon.exe - [B]Worm.Win32.Socks.au[/B] (DrWEB: Trojan.DownLoader.56630)[*] c:\\winnt\\aromis.exe - [B]Email-Worm.Win32.Zhelatin.ww[/B] (DrWEB: Trojan.Packed.426)[*] c:\\winnt\\msiutil.exe - [B]Trojan-Dropper.Win32.Agent.qik[/B] (DrWEB: Trojan.Msiutil)[*] c:\\winnt\\system32\\drivers\\spools.exe - [B]Worm.Win32.Socks.au[/B] (DrWEB: Trojan.DownLoader.56630)[*] c:\\winnt\\system32\\msdvdr.pif - [B]Backdoor.Win32.HacDef.torf[/B] (DrWEB: BackDoor.HackDef.526)[*] c:\\winnt\\system32\\wjcstd32.dll - [B]Trojan.Win32.BHO.bgf[/B] (DrWEB: Trojan.Mocalfost.37)[*] c:\\winnt\\system32\\wlctrl32.dll - [B]Trojan-Downloader.Win32.Mutant.ci[/B] (DrWEB: Trojan.DownLoader.54123)[*] c:\\winnt\\system32\\yofv232.exe - [B]Trojan.Win32.BHO.bgf[/B] (DrWEB: Trojan.Mocalfost.36)[*] r:\\media.exe - [B]Worm.Win32.Tiny.b[/B] (DrWEB: Win32.HLLW.Autoruner.1786)[/LIST][/LIST]