Как и у большинства - на синем фоне Install an antivirus or spyware remover to clean your computer. В свойствах рабочего стола пропали вкладки Рабочий стол и Заставка. Может еще чего попортилось .
Как и у большинства - на синем фоне Install an antivirus or spyware remover to clean your computer. В свойствах рабочего стола пропали вкладки Рабочий стол и Заставка. Может еще чего попортилось .
Последний раз редактировалось karlshorst; 11.06.2009 в 12:55.
ConnectionServices - деинсталировать
скачайте C:\WINDOWS\System32\Drivers\Winlk38.sys - force delete
выполните скрипт ....
пришлите карантин согласно приложения 3 правил ...Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DelBHO('{86A44EF7-78FC-4e18-A564-B18F806F7F56}'); QuarantineFile('C:\Program Files\ActivationManager\ActivationManager.dll',''); DelBHO('{6D7B211A-88EA-490c-BAB9-3600D8D7C503}'); DelBHO('{FFFC57DB-1DE3-4303-B24D-CEE6DCDD3D86}'); QuarantineFile('C:\WINDOWS\system32\lphcttkj0er6r.exe',''); DeleteService('WinDefendWinDefend'); DeleteService('WinDefendSSDPSRV'); DeleteService('TmPfwRemoteRegistry'); DeleteService('SoundMAXWebClientNtLmSsp'); DeleteService('SoundMAXWebClient'); DeleteService('SENSClipSrvaspnet_state'); DeleteService('SENSClipSrv'); DeleteService('ScheduleRasAuto'); DeleteService('RDSessMgrDnscache'); DeleteService('RDSessMgrCiSvc'); DeleteService('oseFastUserSwitchingCompatibility'); DeleteService('NtLmSspWebClient'); DeleteService('Netlogonwuauserv'); DeleteService('NetlogonRpcLocator'); DeleteService('MSIServerWebClient'); DeleteService('HTTPFilterSoundMAXWebClient'); DeleteService('gusvcSoundMAXWebClient'); DeleteService('ERSvcTmProxy'); DeleteService('dmadminRpcSs'); DeleteService('Dhcpdmserver'); DeleteService('COMSysAppClipSrvseclogon'); DeleteService('COMSysAppClipSrv'); DeleteService('CiSvcdmadmin'); DeleteService('BITSShellHWDetection'); DeleteService('aspnet_stateERSvc'); DeleteService('ALGSCardSvr'); DeleteService('ALGNtmsSvc'); QuarantineFile('C:\WINDOWS\system32\Drivers\Winlk38.sys',''); QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll',''); QuarantineFile('c:\windows\system32\lphcttkj0er6r.exe',''); DeleteFile('c:\windows\system32\lphcttkj0er6r.exe'); DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll'); DeleteFile('C:\WINDOWS\system32\Drivers\Winlk38.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winlk38.sys'); DeleteFile('C:\WINDOWS\system32\blphcttkj0er6r.scr'); DeleteFile('C:\WINDOWS\system32\lphcttkj0er6r.exe'); DeleteFile('WinCtrl32.dll'); DeleteFile('C:\PROGRA~1\MYCENT~1\InfoBar\MYCENT~1.DLL'); DeleteFile('C:\Program Files\ConnectionServices\ConnectionServices.dll'); DeleteFile('C:\Program Files\ActivationManager\ActivationManager.dll'); BC_ImportDeletedList; ExecuteSysClean; ExecuteRepair(5); ExecuteRepair(6); ExecuteRepair(8); BC_Activate; RebootWindows(true); end.
повторите логи ...
Похоже, что все восстановилось!!
Отправляю карантин и логи.
moderated:::- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
Последний раз редактировалось karlshorst; 11.06.2009 в 12:55.
Внимание !!! База AVZ поcледний раз обновлялась 06.04.2008 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)
Восстановление системы: включено
Повторите логи в соответствии с правилами.
Свежие логи по правилам. Карантин закачан правильно. Восстановление сист. отключено.
Последний раз редактировалось karlshorst; 11.06.2009 в 12:55.
выполните скрипт .....
пришлите карантин согласно приложения 3 правил ....Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\Documents and Settings\iotrokhov\Local Settings\Temp\loader.exe',''); BC_DeleteSvc('Winlk38'); QuarantineFile('C:\WINDOWS\System32\Drivers\Winlk38.sys',''); BC_DeleteSvc('WinDefendWinDefend'); BC_DeleteSvc('WinDefendSSDPSRV'); BC_DeleteSvc('WinDefendBITS'); BC_DeleteSvc('SoundMAXWebClientNtLmSsp'); BC_DeleteSvc('SoundMAXWebClient'); BC_DeleteSvc('SENSClipSrv'); BC_DeleteSvc('ScheduleRasAuto'); BC_DeleteSvc('RSVPaspnet_stateERSvc'); BC_DeleteSvc('RDSessMgrDnscache'); BC_DeleteSvc('RDSessMgrCiSvc'); BC_DeleteSvc('oseFastUserSwitchingCompatibility'); BC_DeleteSvc('NtLmSspWebClient'); BC_DeleteSvc('Netlogonwuauserv'); BC_DeleteSvc('NetlogonRpcLocator'); BC_DeleteSvc('MSIServerWebClient'); BC_DeleteSvc('HTTPFilterSoundMAXWebClient'); BC_DeleteSvc('gusvcSoundMAXWebClient'); BC_DeleteSvc('ERSvcTmProxy'); BC_DeleteSvc('Dhcpdmserverlanmanworkstation'); BC_DeleteSvc('Dhcpdmserver'); BC_DeleteSvc('COMSysAppClipSrvseclogon'); BC_DeleteSvc('COMSysAppClipSrv'); BC_DeleteSvc('CiSvcdmadmin'); BC_DeleteSvc('BITSShellHWDetection'); BC_DeleteSvc('aspnet_stateERSvc'); BC_DeleteSvc('ALGSCardSvr'); BC_DeleteSvc('ALGNtmsSvc'); DeleteFile('C:\WINDOWS\System32\Drivers\Winlk38.sys'); DeleteFile('C:\Documents and Settings\iotrokhov\Local Settings\Temp\loader.exe'); BC_ImportDeletedList; ExecuteSysClean; ExecuteRepair(5); ExecuteRepair(6); ExecuteRepair(8); BC_Activate; RebootWindows(true); end.
повторите логи ...
Новые логи, карантин отправлен!
Последний раз редактировалось karlshorst; 11.06.2009 в 12:55.
1. Отключите восстановление системы и антивирус.
2. Выполните скрипт в AVZ:
После выполнения скрипта компьютер перезагрузится!Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteService('TmPfwRemoteRegistry'); DeleteService('SENSClipSrvaspnet_state'); DeleteService('dmadminRpcSs'); DeleteFile('srv.exe'); BC_ImportDeletedList; ExecuteSysClean; BC_DeleteSvc('TmPfwRemoteRegistry'); BC_DeleteSvc('SENSClipSrvaspnet_state'); BC_DeleteSvc('dmadminRpcSs'); BC_Activate; RebootWindows(true); end.
3. Пофиксите в HijackThis:
4. Повторите логи.O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\
Сердце решает кого любить... Судьба решает с кем быть...
Все сделал, отправляю логи!
Последний раз редактировалось karlshorst; 11.06.2009 в 12:55.
пофиксите ...
больше ничего плохого ...Код:O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
Огромное спасибо!!
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 10
- В ходе лечения обнаружены вредоносные программы:
- c:\\documents and settings\\iotrokhov\\local settings\\temp\\loader.exe - Trojan-Downloader.Win32.Agent.abrt (DrWEB: Trojan.DownLoad.2077)
- c:\\system volume information\\_restore{9f94f738-4558-43a5-b317-7e359e0dd27a}\\rp3\\a0000074.dll - Trojan.Win32.ConnectionServices.l (DrWEB: Trojan.BitAcc)
- c:\\windows\\system32\\lphcttkj0er6r.exe - Trojan-Downloader.Win32.Small.abob (DrWEB: Trojan.Packed.600)
- c:\\windows\\system32\\winctrl32.dll - Trojan-Downloader.Win32.Mutant.ayn (DrWEB: Trojan.Packed.573)
Уважаемый(ая) karlshorst, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.