после всех этих действий wstest.dll по-прежнему на месте
создается автоматом после перезагрузки
Printable View
после всех этих действий wstest.dll по-прежнему на месте
создается автоматом после перезагрузки
выполните скрипт ...
[code]
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('%Windir%\expmodule.exe','');
DeleteFile('%Windir%\expmodule.exe');
DeleteFile('C:\WINDOWS\system32\wstest.dll');
BC_ImportDeletedList;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил ...
повторите логи ....
готово, карантин прикрепил, файлец пропал, но возник другой косяг, после перезагрузки процесс explorer.exe отказался грузиться автоматически: появляется окно привествия, долго висит, затем картинка рабочего стола и все, тишина, диспетчер задач работает, я вручную запустил эксплорер, все работает, но такая батва после каждой перезагрузки
злодея прибили ...
C:\WINDOWS\system32\userinit.exe - пришлите согласно приложения 3 правил ...
карантин положил
надеюсь теперь и эксплорер оживите =8-)
файлик чистый ...
пуск выполнить regedit
HKLM\Software\Microsoft\WindowsNT\CurrentVersion\Image File Execution Options
экспортируйте ... и приложите ...
готово
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
ключ посмотрите ...
должно быть ...
"Shell"="Explorer.exe"
вирус создал копию этой ветки с именем Winlogo2, где "Shell"="expmodule.exe"
изменил там на эксплорер, все заработало, спасибо большое за помощь
userinit.exe - замените на чистый из дистрибутива ... вирлаб говорит что он не вредоносный , но он у вас не оригинальный ...
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]5[/B][*]Обработано файлов: [B]12[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\documents and settings\\u221\\рабочий стол\\malware - [B]Trojan.Win32.Agent.aceo[/B] (DrWEB: Trojan.DownLoad.4269)[*] c:\\windows\\expmodule.exe - [B]Trojan.Win32.Agent.alcb[/B] (DrWEB: Trojan.MulDrop.27688)[*] c:\\windows\\system32\\cmpbk3.dll - [B]Rootkit.Win32.Podnuha.bby[/B] (DrWEB: Trojan.DownLoad.4268)[*] c:\\windows\\system32\\drivers\\tswxeezs.dat - [B]Trojan.Win32.Agent.cid[/B] (DrWEB: Trojan.Sentinel)[*] c:\\windows\\system32\\wstest.dll - [B]Trojan.Win32.Agent.aceo[/B] (DrWEB: Trojan.DownLoad.4269)[/LIST][/LIST]