-
Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\regedit.exe','');
QuarantineFile('C:\WINDOWS\system32\23.tmp.exe','');
QuarantineFile('C:\WINDOWS\fonts\services.exe','');
QuarantineFile('C:\Program Files\Common Files\System\cgkchtw.dll','');
DeleteFile('C:\Program Files\Common Files\System\cgkchtw.dll');
DeleteFile('C:\WINDOWS\fonts\services.exe');
DeleteFile('C:\WINDOWS\system32\23.tmp.exe');
DeleteFile('C:\WINDOWS\system32\regedit.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Regedit32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','29807');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(13);
SetAVZPMStatus(True);
RebootWindows(true);
end. [/code]Компьютер перезагрузится.
Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы
Сделайте новые логи
-
Профиксить:
[CODE]
F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe
O4 - HKLM\..\Run: [29807] C:\WINDOWS\system32\23.tmp.exe
O4 - HKLM\..\Run: [Regedit32] C:\WINDOWS\system32\regedit.exe
[/CODE]
Выполнить скрипт:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\23.tmp','');
DeleteFile('C:\WINDOWS\system32\23.tmp');
DeleteFile('C:\WINDOWS\fonts\services.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
повторить логи.
-
-
Карантин выслал согласно правилам.
-
'C:\WINDOWS\system32\23.tmp' - HEUR:Trojan.Win32.Generic
-
Исцелил доктор. в карантине ничего нет. вот новые логи.
-
ещё у меня начало после примерно пяти-десяти минут после запуска Windows появлятся такое окно с названием "svchost.exe-Ошибка приложения" в ней написано Инструкция по адресу "0x6fe216e2" обратилась к памяти по адресу "0x6fe216e2". Память не может быть "read". Жал и отмену и ок. но компьютер начинает лагать и инет перестаёт работать. а в панели ниже где пуск она становится в класический меню.
-
Думается, надо провериться sfc /scannow. Только надо иметь на готове дистрибутив
Windows.
-
чевой? слово sfc /scannow и дистрибутив непонятные
-
Пуск -- Выполнить -- sfc /scannow . Если потребует, вставишь диск, откуда систему ставил.
-
если бы был у меня этот диск
-
Итог лечения
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]8[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\windows\system\winrsc.exe - [B]Virus.Win32.Virut.ce[/B] ( DrWEB: Win32.Virut.56, BitDefender: Trojan.Generic.2464253, NOD32: Win32/Virut.NBP virus, AVAST4: Win32:Vitro )[*] c:\windows\system32\drivers\protect.sys - [B]Rootkit.Win32.Agent.jj[/B] ( DrWEB: Trojan.NtRootKit.429, BitDefender: Trojan.Generic.2206884, NOD32: Win32/SpamTool.Agent.NAJ trojan, AVAST4: Win32:Trojan-gen )[*] c:\windows\system32\drivers\regv.bak - [B]Backdoor.Win32.SdBot.luy[/B] ( DrWEB: BackDoor.IRC.Sdbot.4826, BitDefender: Application.Generic.203247, AVAST4: Win32:Trojan-gen {Other} )[*] c:\windows\system32\drivers\sysdrv32.sys - [B]Worm.Win32.AutoRun.ftp[/B] ( DrWEB: Tool.TcpZ, BitDefender: Rootkit.Agent.AJBM, AVAST4: Win32:Tcpz [Tool] )[*] c:\windows\system32\mswinsck.ocx - [B]Email-Worm.Win32.Nyxem.bh[/B] ( DrWEB: Win32.HLLM.Generic.455, BitDefender: Win32.Worm.Nyxem.F, AVAST4: Win32:Trojan-gen )[*] c:\windows\system32\14.tmp - [B]Packed.Win32.Krap.x[/B] ( DrWEB: Trojan.Spambot.2424, BitDefender: Trojan.Spammer.Tedroo.BV, AVAST4: Win32:Preald-AJ [Drp] )[*] c:\windows\system32\23.tmp - [B]Trojan.Win32.Obfuscated.ahvq[/B] ( DrWEB: Trojan.DownLoad.44766, BitDefender: Backdoor.Hupigon.166818, AVAST4: Win32:Hupigon-LIE [Trj] )[*] c:\windows\system32\54.tmp - [B]Packed.Win32.Krap.x[/B] ( DrWEB: Trojan.Spambot.2424, BitDefender: Trojan.Spammer.Tedroo.BV, AVAST4: Win32:Preald-AJ [Drp] )[/LIST][/LIST]
Page generated in 0.01641 seconds with 10 queries