Комп не реагирует на команды выключения и перегрузки

**vd7** · 03.01.2008, 21:51

Здравствуйте, уважаемые хэлперы!
С Новым Годом !
Несколько дней назад я заметил, что комп подвисает, а потом вообще перестал реагировать на команды с Пуска. При полной проверке Доктором Вэб в безопасном режиме обнаружены 5 вредоносных объектов и программа взлома.
Что делать дальше? Пожалуйста, помогите!

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**wise-wistful** · 03.01.2008, 22:18

1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Надать кнопку "Запустить".

Код:

begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
 QuarantineFile('e:\winner5\cup5\loader.exe','');
 QuarantineFile('E:\WINDOWS\System32\RedSwoosh.cpl','');
 QuarantineFile('E:\WINDOWS\System32\ntos.exe','');
 DeleteFile('E:\WINDOWS\System32\ntos.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(6);
 ExecuteRepair(8);
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=15938

2.Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )

Код:

R3 - URLSearchHook: (no name) - {468CD8A9-7C25-45FA-969E-3D925C689DC4} - (no file)
F2 - REG:system.ini: UserInit=e:\windows\system32\userinit.exe,E:\WINDOWS\System32\ntos.exe,

**vd7** · 03.01.2008, 23:06

Файл сохранён как
080103_135045_virus_477d3c95ed154.zipРазмер файла487131MD5b22d267097c81fe32f0f9a37a21416dc

Добавлено через 14 минут

Пофиксил только строку R3, строку F2 (F2 - REG:system.ini: UserInit=e:\windows\system32\userinit.exe,E:\WINDO WS\System32\ntos.exe,) не нашел... где это найти ?

**V_Bond** · 03.01.2008, 23:08

повторите логи ...

**wise-wistful** · 03.01.2008, 23:15

Сообщение от vd7

Пофиксил только строку R3, строку F2 (F2 - REG:system.ini: UserInit=e:\windows\system32\userinit.exe,E:\WINDO WS\System32\ntos.exe,) не нашел... где это найти ?

Если нет то АВЗ скорее всего удалил, повторите логи.

**vd7** · 03.01.2008, 23:33

Отправляю логи.

**V_Bond** · 03.01.2008, 23:59

выполните скрипт...

Код:

begin
 QuarantineFile('E:\WINDOWS\wc98pp.dll','');
end.

пришлите карантин согласно приложения 3 правил ....

**vd7** · 04.01.2008, 00:11

Архив карантина отправил по ссылке http://virusinfo.info/upload_virus.php?tid=15938

Файл сохранён как080103_150924_virus_477d4f0454aab.zipРазмер файла29766MD596d40980cbe64d4f37270c4bd906a6c8

**V_Bond** · 04.01.2008, 00:20

присланный файл чистый ... больше ничего подозрительного в логах не вижу ...

**vd7** · 04.01.2008, 00:28

Чем могу быть вам полезен ?

**V_Bond** · 04.01.2008, 00:30

если из-этого что то не используется лучше закрыть (можем помочь) ....
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба TlntSvr (Telnet)
>> Службы: разрешена потенциально опасная служба Messenger (Служба сообщений)
>> Службы: разрешена потенциально опасная служба Alerter (Оповещатель)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>>> Безопасность: В IE разрешены автоматические запросы элементов управления ActiveX

**vd7** · 04.01.2008, 00:36

Пожалуйста, помогите остановить ненужные службы. Комп домашний, к внешнему миру только интернет-провайдер. Буду признателен.

**V_Bond** · 04.01.2008, 00:38

выполните скрипт ...(оставлен только автозапуск)

Код:

begin
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
SetServiceStart('RDSessMgr', 4);
SetServiceStart('mnmsrvc', 4);
SetServiceStart('Schedule', 4);
SetServiceStart('Alerter', 4);
SetServiceStart('Messenger', 4);
SetServiceStart('TlntSvr', 4);
SetServiceStart('SSDPSRV', 4);
SetServiceStart('TermService', 4);
RebootWindows(true);
end.