слиьное заражение

[fotorama]

Примени таблетку #8 из Восст системы в AVZ для проводника.

принял

Вот этого просто из установки/удаления деинсталлировать нельзя Microsoft Security Adviser?

его нет в установке/удаление програм

[fotorama]

новые логи
скрипт лечения все еще вылетает

[fotorama]

пс
замечено что скрипт лечения вылетает когда доходит до проверки c:\windows

[PavelA]

профиксить:

Код:

F2 - REG:system.ini: Shell=c:\windows\explorer.exe
F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe

После этого вот этот скрипт:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 Clearquarantine;
 SetServiceStart('Microsoft Internet Service', 4);
 QuarantineFile('Microsoft Internet Service.sys','');
 DeleteFile('Microsoft Internet Service.sys');
 BC_QrSvc('Microsoft Internet Service');
 BC_DeleteSvc('Microsoft Internet Service');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

[V_Bond]

aspnet_state.sys , DomainService.sys ,MDM.sys - поищите и этих при при помощи авз и пришлите по правилам ...

[fotorama]

профиксил и выполнел скрипт
aspnet_state.sys , DomainService.sys ,MDM.sys не нашол

Добавлено через 40 секунд

логи делать?

[V_Bond]

выполните скрипт ...

Код:

begin
 BC_DeleteSvc('MDM');
 BC_DeleteSvc('DomainService');
 BC_DeleteSvc('aspnet_state');
BC_Activate;
RebootWindows(true);
end.

повторите логи ...

[fotorama]

скрипт из 27 поста выполнен успешно а вот слогами опять беда...........
скрипт сбора/лечения опять вылетел
но еще было замечено следущее посли вылетания скрипта востанавливаються

Код:

F2 - REG:system.ini: Shell=c:\windows\explorer.exe
F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe

и в мастере поиска и устранения проблем сново появляеться проблема с модифицированым ключем проводника....
перед тем как зделать эти логи заново все исправи.

[V_Bond]

выполните скрипт ....

Код:

begin
QuarantineFile('C:\Program Files\RXToolBar\sfcont.dll','');
 BC_DeleteSvc('IDriverT');
  BC_DeleteSvc('setup_7.0.0.180_15.04.2008_09-39');
 BC_ImportQuarantineList;
 BC_Activate;
RebootWindows(true);
end.

пришлите карантин согласно приложения 3 правил ...

[fotorama]

Файл сохранён как 080416_021134_virus_4805a6a61db04.zip

Размер файл 604

MD5 4743ff9059997a4cd9f817a048154086

[Rene-gad]

Файл сохранён как 080416_021134_virus_4805a6a61db04.zip

Вирлаб ничего плохого в файле не обнаружил. Sophos, однако, другого мнения: http://www.sophos.de/security/analys...rxtoolbar.html
Так что этот тулбар лучше удалить через панель приложений.

[fotorama]

какие дальнейшие действия?
и почему скрипт вылетает?

[XP user]

Редактор реестра работает?
В HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options посмотрите. Если там есть запись про explorer.exe, экпортируйте ветку и покажите. Такой ключ по-любому удалить.

Paul

[fotorama]

вот ветка реестра
зписей о експлоере небыло

[fotorama]

жду указаний

[XP user]

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
Экспортируйте и покажите.

Paul

[fotorama]

вот реестр

[V_Bond]

выполните стандартный скрипт 6 ....
после попробуйте выполнить стандартный скрипт 3 ...

[fotorama]

скрипт прошол почти до конца но опять вылетел(

[V_Bond]

virusinfo_syscheck.zip сделайте ...