Собственно, вылетает при загрузке WinXP такое окошко.
А потом на рабочем столе Danger!
Стоит drWeb.
Как убрать данное окно или вирус?
Собственно, вылетает при загрузке WinXP такое окошко.
А потом на рабочем столе Danger!
Стоит drWeb.
Как убрать данное окно или вирус?
выполните скрипт ...
пришлите карантин согласно приложения 3 правилКод:begin SearchRootkit(true, true); SetAVZGuardStatus(True); BC_DeleteSvc('Winov42'); BC_DeleteSvc('Winjq06'); BC_DeleteSvc('Winip31'); BC_DeleteSvc('Winio52'); BC_DeleteSvc('Winag84'); BC_DeleteSvc('AntiSpyWareProFilter'); BC_DeleteSvc('WudfSvcsrservice'); BC_DeleteSvc('WmiApSrvSwPrvmnmsrvcNetDDEdmserver'); BC_DeleteSvc('WmiApSrvSwPrv'); BC_DeleteSvc('winmgmtRemoteAccess'); BC_DeleteSvc('UPSRemoteRegistry'); BC_DeleteSvc('UPSNtLmSspUPSNtLmSspALG'); BC_DeleteSvc('UPSNtLmSspALG'); BC_DeleteSvc('UPSNtLmSsp'); BC_DeleteSvc('ThemesTrkWks'); BC_DeleteSvc('SysmonLogNVSvc'); BC_DeleteSvc('ThemesThemes'); BC_DeleteSvc('TermServiceSSDPSRVRemoteRegistry'); BC_DeleteSvc('SysmonLogImapiService'); BC_DeleteSvc('SSDPSRVRemoteRegistry'); BC_DeleteSvc('ShellHWDetectionRpcLocatorsrserviceWebClient'); BC_DeleteSvc('SharedAccessTlntSvr'); BC_DeleteSvc('SharedAccessERSvc'); BC_DeleteSvc('SENSTlntSvr'); BC_DeleteSvc('SCardSvrThemes'); BC_DeleteSvc('RSVPmnmsrvc'); BC_DeleteSvc('RSVPCOMSysApp'); BC_DeleteSvc('RpcLocatorsrserviceWebClient'); BC_DeleteSvc('RpcLocatorsrservice'); BC_DeleteSvc('RDSessMgrwuauservSysmonLogUPS'); BC_DeleteSvc('RasManAudioSrv'); BC_DeleteSvc('ProtectedStorageRSVP'); BC_DeleteSvc('ProtectedStoragedmserver'); BC_DeleteSvc('PolicyAgentBrowserAppMgmtRpcLocator'); BC_DeleteSvc('PolicyAgentBrowserAppMgmt'); BC_DeleteSvc('PolicyAgentBrowser'); BC_DeleteSvc('PlugPlayFastUserSwitchingCompatibility'); BC_DeleteSvc('NtLmSspUPSNtLmSspUPSNtLmSspALG'); BC_DeleteSvc('NtLmSspNetman'); BC_DeleteSvc('mnmsrvcNetDDEdmserver'); BC_DeleteSvc('mnmsrvcNetDDE'); BC_DeleteSvc('MDMTermServiceSSDPSRVRemoteRegistry'); BC_DeleteSvc('HTTPFilterSharedAccessERSvc'); BC_DeleteSvc('HTTPFilterAppMgmtdmadmin'); BC_DeleteSvc('EventSystemHTTPFilter'); BC_DeleteSvc('ERSvcEventlog'); BC_DeleteSvc('DhcpAppMgmtdmadmin'); BC_DeleteSvc('DcomLaunchdmserver'); BC_DeleteSvc('CryptSvcWmi'); BC_DeleteSvc('AudioSrvClipSrv'); BC_DeleteSvc('AppMgmtdmadminCryptSvc'); BC_DeleteSvc('AppMgmtdmadmin'); BC_DeleteSvc('ALGThemesThemes'); TerminateProcessByName('c:\windows\system32\lphc9lwj0eg7c.exe'); QuarantineFile('c:\windows\system32\lphc9lwj0eg7c.exe',''); DeleteFile('c:\windows\system32\lphc9lwj0eg7c.exe'); DeleteFile('C:\Program Files\ASWPro\SSS.sys'); DeleteFile('C:\WINDOWS\System32\drivers\Winag84.sys'); DeleteFile('C:\WINDOWS\System32\drivers\Winio52.sys'); DeleteFile('C:\WINDOWS\System32\drivers\Winip31.sys'); DeleteFile('C:\WINDOWS\System32\drivers\Winjq06.sys'); DeleteFile('C:\WINDOWS\System32\drivers\Winov42.sys'); DeleteFile('C:\WINDOWS\system32\blphc9lwj0eg7c.scr'); DeleteFile('C:\Program Files\ASWPro\ASWPro.exe'); DeleteFile('C:\WINDOWS\system32\lphc9lwj0eg7c.exe'); DeleteFileMask('%Tmp%', '*.*', true); DeleteFileMask('C:\Documents and Settings\natasha\Local Settings\Temporary Internet Files\Content.IE5\', '*.*', true); BC_ImportDeletedList; ExecuteSysClean; ExecuteRepair(5); ExecuteRepair(6); ExecuteRepair(8); BC_Activate; RebootWindows(true); end.
повторите логи
СПАСИБО! С экрана и из предзагрузки все пропало.
Карантин выслал.
Это логи после лечения
Последний раз редактировалось V_Bond; 16.09.2008 в 22:15. Причина: карантин в теме
выполните скрипт
пришлите карантин согласно приложения 3 правилКод:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\MS32DLL.dll.vbs',''); BC_DeleteSvc('SysmonLogUPS'); BC_DeleteSvc('RDSessMgrwuauserv'); DeleteFile('C:\WINDOWS\MS32DLL.dll.vbs'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
повторите логи
Выполнил.
Логи прилагаю
ничего подозрительного ....
Огромное спасибо!!!
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 2
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\system32\\lphc9lwj0eg7c.exe - Backdoor.Win32.Frauder.fk (DrWEB: Trojan.Packed.636)
Уважаемый(ая) examinator, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.