N2

[Евгений1970]

Особых проблем нет, но - тормозит, на Cntr+Alt+Del отвечает "Диспетчер задач отключен Администратором ", на переустановку Системы отвечает, что это не возможно.

[drongo]

1.отключить антивирус и интернет.
2.AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 RegKeyDel('HKLM','SOFTWARE\Microsoft\Code Store Database\Distribution Units\{33331111-1111-1111-1111-615111193427}');
 RegKeyDel('HKLM','SOFTWARE\Microsoft\Code Store Database\Distribution Units\{33331111-1111-1111-1111-611111193423}');
 RegKeyDel('HKLM','SOFTWARE\Microsoft\Code Store Database\Distribution Units\{11010101-1001-1111-1000-110112345678}');
 QuarantineFile('C:\WINNT\system32\thumbvw.dll','');
 QuarantineFile('c:\winnt\system32\ldcore.dll','');
 QuarantineFile('C:\WINNT\system32\vbsys2.dll','');
 QuarantineFile('C:\WINNT\system32\eplrr9.dll','');
 QuarantineFile('C:\Install\TransparentW.exe','');
 QuarantineFile('C:\WINNT\system32\DRIVERS\ASTRA32.SYS','');
DeleteFile('c:\winnt\system32\ldcore.dll');
DeleteFile('C:\WINNT\system32\vbsys2.dll');
DeleteFile('C:\WINNT\system32\eplrr9.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(6);
ExecuteRepair(9);
ExecuteRepair(11);
ExecuteRepair(12);
ExecuteRepair(13);
RebootWindows(true);
end.

3.Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=16020

[drongo]

На всякий случай ещё раз логи сделать с этого компьютера.

[Евгений1970]

Направляю. Вроде все нормально, по крайней мере заработал Ctrl+Alt+Del.
Но:
1. При получении лога virusinfo_syscure.zip, AVZ завис, пришлось перегружаться и запускать заново.
2. При получении лога virusinfo_syscheck.zip опять появилось сообщение о перехвате функций.

[Bratez]

В логах все в порядке.

Думаю, стоит пофиксить в HijackThis эти строчки:

Код:

R1 - HKCU\Software\Microsoft\Internet Explorer,Search = http://try.directwebsearch.net/search.php
R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://try.directwebsearch.net/search.php
R1 - HKLM\Software\Microsoft\Internet Explorer,Search = http://try.directwebsearch.net/search.php
R1 - HKLM\Software\Microsoft\Internet Explorer,SearchURL = http://try.directwebsearch.net/search.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://try-this-search.biz
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://try-this-search.biz
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://try.directwebsearch.net/search.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://coopto.directwebsearch.net/index.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://try.directwebsearch.net/search.php

Также посмотрите, нужно ли вам что-то из этого:

Код:

>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба TlntSvr (Telnet)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: разрешен автоматический вход в систему

Лишнее отключим.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 13
• В ходе лечения вредоносные программы в карантинах не обнаружены