-
c:\windows\system32\nitmw.exe - [B]Backdoor.Win32.Agent.itt[/B]
Скачайте [url=http://mail.ustc.edu.cn/~jfpan/download/IceSword122en.zip]IceSword[/url].
Запустите его, внизу слева выберите меню File.
Появится аналог проводника. Найдите в нем файл C:\WINDOWS\Cursors\werasqlp.cur и если есть - сначала скопируйте его куда хотите при помощи Copy to... для того, чтобы прислать нам, а потом удалите с помощью force delete (нажмите по нему правой кнопкой мыши и выберите force delete, на запрос подтверждения ответьте "да").
Затем [url=http://virusinfo.info/showthread.php?t=7239]выполните скрипт в AVZ[/url]:
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('c:\windows\system32\nitmw.exe');
DeleteFile('C:\WINDOWS\Cursors\werasqlp.cur');
DeleteFile('C:\WINDOWS\system32\svchost.exe:exe.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('ICF');
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите скопированный Вами файл нам в архиве с паролем virus.
[url=http://virusinfo.info/showthread.php?t=4491]Пофиксите в HijackThis[/url]:
[code]O2 - BHO: e404 helper - {C03FD59D-9104-44B7-929A-9EAA0BA05211} - C:\Program Files\Helper\1205096526.dll (file missing)[/code]
Сделайте новые логи.
-
Карантин из дома смотреть не могу, но в логе Хиджака все на месте. Как будто бы и не удаляли ничего.
-
Файла C:\WINDOWS\Cursors\werasqlp.cur уже нет. Вот новые логи.
-
выполните скрипт ...
[code]
begin
QuarantineFile('and.exe','');
QuarantineFile('ttc.exe','');
end.
[/code]
пришлите карантин согласно приложения 3 правил ...
повторите логи ...
-
Пуск - выполнить - напишите sc delete ICF - нажмите ОК.
После этого сделайте новый лог HijackThis.
-
Файлов and.exe и ttc.exe уже нет. Карантин пуст.
Новые логи.
Вот новый лог HijackThis после "sc delete ICF".
-
[B]Выключите Акронис[/B]. Ваш Имадж со Зверинцем можно только Всемирному музею компютерных вирусов подарить ;)
Пофиксите
[CODE]F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\Documents and Settings\Администратор\ttc.exe \s[/CODE]
-
Акронис выключил.
Пофиксил.
Вот новые логи.
>> Ваш Имадж со Зверинцем можно только Всемирному музею >> >> >>компютерных вирусов подарить
Что, много всякой нечисти?
-
В логах чисто. Какие-то проблемы остались ?
-
Спасибо! Сейчас попробую.
-
Все работает хорошо. Проблем не замечаю.
Огромное спасибо всем Helper-ам, принимавшим участие в решении проблемы.
-
Нам интересно [url=http://virusinfo.info/showthread.php?t=19883]Ваше мнение[/url] о нашем ресурсе. Будем очень благодарны за отзыв, он может помочь нам улучшить ресурс.
Советуем прочитать электронную [url=http://security-advisory.virusinfo.info/]книгу[/url] "Безопасный Интернет. Универсальная защита для Windows ME - Vista".
-
Итог лечения
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]4[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\documents and settings\\администратор\\ttc.exe - [B]Backdoor.Win32.Agent.itt[/B] (DrWEB: BackDoor.Zoner.2)[*] c:\\windows\\system32\\nitmw.exe - [B]Backdoor.Win32.Agent.itt[/B] (DrWEB: BackDoor.Zoner.2)[/LIST][/LIST]
Page generated in 0.01377 seconds with 10 queries