-
c:\windows\system32\nitmw.exe - Backdoor.Win32.Agent.itt
Скачайте IceSword.
Запустите его, внизу слева выберите меню File.
Появится аналог проводника. Найдите в нем файл C:\WINDOWS\Cursors\werasqlp.cur и если есть - сначала скопируйте его куда хотите при помощи Copy to... для того, чтобы прислать нам, а потом удалите с помощью force delete (нажмите по нему правой кнопкой мыши и выберите force delete, на запрос подтверждения ответьте "да").
Затем выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('c:\windows\system32\nitmw.exe');
DeleteFile('C:\WINDOWS\Cursors\werasqlp.cur');
DeleteFile('C:\WINDOWS\system32\svchost.exe:exe.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('ICF');
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите скопированный Вами файл нам в архиве с паролем virus.
Пофиксите в HijackThis:
Код:
O2 - BHO: e404 helper - {C03FD59D-9104-44B7-929A-9EAA0BA05211} - C:\Program Files\Helper\1205096526.dll (file missing)
Сделайте новые логи.
-
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Карантин из дома смотреть не могу, но в логе Хиджака все на месте. Как будто бы и не удаляли ничего.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 62
Файла C:\WINDOWS\Cursors\werasqlp.cur уже нет. Вот новые логи.
Последний раз редактировалось StepIn; 27.05.2008 в 16:23.
-
выполните скрипт ...
Код:
begin
QuarantineFile('and.exe','');
QuarantineFile('ttc.exe','');
end.
пришлите карантин согласно приложения 3 правил ...
повторите логи ...
-
-
Пуск - выполнить - напишите sc delete ICF - нажмите ОК.
После этого сделайте новый лог HijackThis.
-
-
Junior Member
- Вес репутации
- 62
Файлов and.exe и ttc.exe уже нет. Карантин пуст.
Новые логи.
Вот новый лог HijackThis после "sc delete ICF".
Последний раз редактировалось StepIn; 27.05.2008 в 16:23.
-
Выключите Акронис. Ваш Имадж со Зверинцем можно только Всемирному музею компютерных вирусов подарить
Пофиксите
Код:
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\Documents and Settings\Администратор\ttc.exe \s
-
-
Junior Member
- Вес репутации
- 62
Акронис выключил.
Пофиксил.
Вот новые логи.
>> Ваш Имадж со Зверинцем можно только Всемирному музею >> >> >>компютерных вирусов подарить
Что, много всякой нечисти?
Последний раз редактировалось StepIn; 27.05.2008 в 16:23.
-
В логах чисто. Какие-то проблемы остались ?
-
-
Junior Member
- Вес репутации
- 62
Спасибо! Сейчас попробую.
-
Junior Member
- Вес репутации
- 62
Все работает хорошо. Проблем не замечаю.
Огромное спасибо всем Helper-ам, принимавшим участие в решении проблемы.
-
Нам интересно Ваше мнение о нашем ресурсе. Будем очень благодарны за отзыв, он может помочь нам улучшить ресурс.
Советуем прочитать электронную книгу "Безопасный Интернет. Универсальная защита для Windows ME - Vista".
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 4
- В ходе лечения обнаружены вредоносные программы:
- c:\\documents and settings\\администратор\\ttc.exe - Backdoor.Win32.Agent.itt (DrWEB: BackDoor.Zoner.2)
- c:\\windows\\system32\\nitmw.exe - Backdoor.Win32.Agent.itt (DrWEB: BackDoor.Zoner.2)
-