Тормозит XP

[gunzzlinger]

Цепанул откуда-то порцию вирусов. CureIt часть вылечил, часть осталась, видимо. Симптомы - на загрузке, после ввода пароля машина начинает тупить. В процессах ничего криминального, вроде, нет

Высылаю логи, посмотрите, плиз

[Гриша]

Отключите антивирус и интернет!

Скачать,меню,File,появится аналог проводника,найти:WinNt32.dll,Rwb62.sys,правая кнопка мыши Force Delete на запрос о перезагрузке ответьте положительно.

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('WinNt32.dll','');
 QuarantineFile('C:\WINDOWS\system32\userinit.exe','');
 QuarantineFile('C:\WINDOWS\system32\1054t.exe','');
 QuarantineFile('C:\WINDOWS\system32\Drivers\Rwb62.sys','');
 QuarantineFile('C:\WINDOWS\system32\WinNt32.dll','');
 QuarantineFile('C:\WINDOWS\system32\acelpdecm.dll','');
 QuarantineFile('C:\WINDOWS\system32\basexaw32.dll','');
 DeleteService('Rwb62');
 DeleteService('NtmsSvcMSDTC');     
 DeleteFile('C:\WINDOWS\system32\basexaw32.dll');
 DeleteFile('C:\WINDOWS\system32\WinNt32.dll');
 DeleteFile('C:\WINDOWS\system32\Drivers\Rwb62.sys');
 DeleteFile('C:\WINDOWS\system32\1054t.exe');
 DeleteFile('WinNt32.dll');
BC_ImportALL;  
ExecuteSysClean;
BC_DeleteFile('Rwb62 ');
BC_DeleteFile('NtmsSvcMSDTC ');    
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке:http://virusinfo.info/upload_virus.php?tid=24081

Повторите логи.

[Rene-gad]

Перед выполнением скрипта обновите базы АВЗ

база от 29.05.2008 14:52

[gunzzlinger]

Высылаю логи

[gunzzlinger]

Уважаемые гуру! Так что с пациентом?

[Rene-gad]

Пофиксите

Код:

O14 - IERESET.INF: START_PAGE_URL=about:blank
O17 - HKLM\System\CCS\Services\Tcpip\..\{C1A82812-82FB-469C-A3A7-D83FFF45260D}: NameServer = 85.255.113.91,85.255.112.209
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.113.91 85.255.112.209
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.113.91 85.255.112.209
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.113.91 85.255.112.209
O20 - Winlogon Notify: WinNt32 - C:\WINDOWS\

Выполните скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteService('RpcSsBITS');
 DeleteService('Google Online Services');
 QuarantineFile('C:\WINDOWS\system32\apcupsc.exe','');
 QuarantineFile('\\SERVER-11\Users\Коммерческий департамент\Никифоровский_ВА\ie_updates3r.exe','');
 DeleteFile('\\SERVER-11\Users\Коммерческий департамент\Никифоровский_ВА\ie_updates3r.exe');
 DeleteFile('C:\WINDOWS\system32\apcupsc.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После ребута - карантин и логи по правилам - в студию.

[gunzzlinger]

Высылаю логи.

Все заработало. Огромный респект и уважуха вам, камрады!

[Rene-gad]

Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Поставьте СП3. пока по новой зверья не нахватали.
Если проблем не наблюдается, то нам было бы интересно Ваше мнение о нашем ресурсе. Будем очень благодарны за отзыв, он может помочь нам улучшить ресурс.
Советуем прочитать электронную книгу "Безопасный Интернет. Универсальная защита для Windows ME - Vista".

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 2
• Обработано файлов: 19
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\\windows\\system32\\acelpdecm.dll - Backdoor.Win32.Agent.juq (DrWEB: Trojan.EmailSpy.124)
  2. c:\\windows\\system32\\apcupsc.exe - Backdoor.Win32.IRCBot.dis (DrWEB: BackDoor.IRC.Tcpip)
  3. c:\\windows\\system32\\basexaw32.dll - Trojan.Win32.SubSys.eh
  4. c:\\windows\\system32\\userinit.exe - Worm.Win32.Gadja.a (DrWEB: Trojan.DownLoader.62860)
  5. c:\\windows\\system32\\1054t.exe - Backdoor.Win32.IRCBot.dis (DrWEB: BackDoor.IRC.Tcpip)