"Восст. системы " отключить можешь? Очень нужно это сделать.
Printable View
"Восст. системы " отключить можешь? Очень нужно это сделать.
"Восст. системы " отключена с самого начала...
Папки System Volume Information пустые (в фаре)...
Выполнить скрипт:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('Google Online Services');
DeleteFile('C:\Documents and Settings\GLAVBUH\ie_updates3r.exe');
DeleteFile('C:\WINDOWS\system32\drivers\services.exe');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteRepair(1);
BC_Activate;
RebootWindows(true);
end.[/CODE]
Из лога AVZ:
>Версия Windows: 5.1.2600, Service Pack 2 ; AVZ работает с правами >администратора
>Восстановление системы: включено
После этого сделать новые логи.
У Вас большие проблемы с Windows.
Пофиксите в Hijackthis
O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\SYSTEM32\WinCtrl32.dll
Зайдите в AVZ - Сервис - Менеджер автозапуска и удалите запись C:\WINDOWS\system32\drivers\services.exe
После скрипта [B]PavelA[/B] cделайте новые логи.
Вам нужно так много записей в файле Hosts ?
To PavelA:
"Запpетить восстановление системных файлов на всех дисках" птичка стояла, но потом обнаружил что в самих службах сервис стоял с флагом Авто.
Строку удалил непосредственно в реестре C:\WINDOWS\system32\drivers\services.exe - в AVZ эта опция была не доступна.
Regedit.exe и avz.exe запускал через опцию "Запуск от имени..." под Администратором, из-за подозрения ограничения прав.
Вот новые логи...
Вот теперь логи адекватные, запускайте AVZ и дальше именно так.
[url=http://virusinfo.info/showthread.php?t=7239]Выполните скрипт в AVZ[/url]:
[code]begin
ClearQuarantine;
SetAVZGuardStatus(True);
QuarantineFile('sockins32.dll','');
DeleteFile('C:\WINDOWS\system32\sockins32.dll');
DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
DelCLSID('66186F05-BBBB-4a39-864F-72D84615C679');
DelBHO('FFFFFFFF-BBBB-4146-86FD-A722E8AB3489');
DelWinlogonNotifyByKeyName('WinCtrl32');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин.
Сделайте новые логи.
Как проблемы?
Программы грузятся нормально.
Карантин пустой.
Высылаю логи...
[url=http://virusinfo.info/showthread.php?t=7239]Выполните скрипт в AVZ[/url]:
[code]begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{FFFFFFFF-BBBB-4146-86FD-A722E8AB3489}');
QuarantineFile('C:\WINDOWS\system32\resnet32.dll','');
QuarantineFile('C:\WINDOWS\system32\drivers\services.exe','');
QuarantineFile('C:\Documents and Settings\GLAVBUH\svchost.exe','');
DeleteFile('C:\Documents and Settings\GLAVBUH\svchost.exe');
DeleteFile('C:\WINDOWS\system32\drivers\services.exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин.
Сделайте новые логи.
Вам столько записей в файле Hosts нужно? Если есть желание - его можно полностью почистить.
To kps:
В файле Hosts - Spybot - Search & Destroy создал. Пока не мешает. Спасибо...
Шлю новые логи и карантин...
Реестр что-то не чистится. Удалите такие строки в автозапуске:
C:\Documents and Settings\GLAVBUH\svchost.exe
C:\WINDOWS\system32\drivers\services.exe
C:\WINDOWS\system32\resnet32.dll
Удалите в менеджере расширений IE AVZ
sockins32.dll
После этого сделайте новые логи.
Вот...
Без перезагрузки...
Вот это Вам знакомо?
O17 - HKLM\System\CCS\Services\Tcpip\..\{0EA46457-90C9-4352-98BE-DF5E8BB8A5C0}: NameServer = 82.207.67.2,82.207.67.6
O17 - HKLM\System\CS1\Services\Tcpip\..\{0EA46457-90C9-4352-98BE-DF5E8BB8A5C0}: NameServer = 82.207.67.2,82.207.67.6
O17 - HKLM\System\CS2\Services\Tcpip\..\{0EA46457-90C9-4352-98BE-DF5E8BB8A5C0}: NameServer = 82.207.67.2,82.207.67.6
Если незнакомо, то пофиксите эти строчки в HijackThis.
Вот эту сточку пофиксите в Hijackthis:
O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\
Сделайте новый лог Hijackthis.
O17 ... - это DNS
Профиксил...
Новый лог...
Хорошо, теперь чисто. Какие-то проблемы остались?
Пока нет. Спасибо!