Компьютор загружается и через пару минут пропадает доступ к нему из сети, а именно к ресурсу admin$. При каждой загрузке этот ресурс удаляется, создаю руками, но доступа нету. Прошу помощи. Ресурс нужен для удаленной установки Каспера WS.
Компьютор загружается и через пару минут пропадает доступ к нему из сети, а именно к ресурсу admin$. При каждой загрузке этот ресурс удаляется, создаю руками, но доступа нету. Прошу помощи. Ресурс нужен для удаленной установки Каспера WS.
Немного не правильно сформулировал проблему. Пропадает доступ к расшаренным ресурсам этого компьютера и вообще ко всему компьютеру в целом. Такое чувство, что вирусяка блокирует локальную политику, т.к. пару раз при открытии онной вываливается ошибка "сбой базы локальной политики". Появилось сие чудо после того, как барышня посидела в интернете. Сама сознаваться не желает, где была, вот прошу помощи у Вас.
Отключите восстановление системы!
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Пришлите карантин по правилам и повторите логи...Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\cssrss.exe',''); QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll',''); QuarantineFile('C:\Program Files\system101\system101.dll',''); QuarantineFile('c:\windows\system32\dllcache\msfav32.exe',''); DeleteService('Windows Internet Connection Sharing'); DeleteFile('C:\Program Files\system101\system101.dll'); DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll'); DeleteFile('C:\WINDOWS\system32\cssrss.exe'); DeleteFile('WinCtrl32.dll'); DeleteFile('c:\windows\system32\dllcache\msfav32.exe'); BC_ImportALL; ExecuteSysClean; BC_DeleteSvc('Windows Internet Connection Sharing'); BC_Activate; RebootWindows(true); end.
Скрипт выполнил, карантин отправил, логи прилагаю.
Востановление системы пока отключить не удалось, в связи с тем, что отключение заблокировано локальной политикой.
Скачать,меню,File,появится аналог проводника,найти:
правая кнопка мыши Force Delete на запрос о перезагрузке ответьте положительно.Код:C:\WINDOWS\system32\WinCtrl32.dll C:\WINDOWS\system32\Drivers\Winty38.sys
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Повторите логи...Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteService('Winkq40'); DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll'); DeleteFile('C:\WINDOWS\system32\Drivers\Winty38.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winkq40.sys'); DeleteFile('WinCtrl32.dll'); BC_ImportDeletedList; ExecuteSysClean; BC_DeleteSvc('Winkq40'); BC_Activate; RebootWindows(true); end.
Повторяю...
Пофиксить
Жалобы есть?Код:O9 - Extra button: (no name) - {4B5A7560-16C6-4063-86D3-000000000003} - (no file) O9 - Extra 'Tools' menuitem: Блокировка всплывающих окон - {4B5A7560-16C6-4063-86D3-000000000003} - (no file) O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\
Жалоб нет, огромное Вам спасибо.
Последний раз редактировалось kok; 09.10.2008 в 16:56.
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 10
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\system32\\dllcache\\msfav32.exe - Backdoor.Win32.Rbot.eyn (DrWEB: Trojan.Packed.650)
- c:\\windows\\system32\\winctrl32.dll - Trojan-Downloader.Win32.Mutant.bpc (DrWEB: BackDoor.Bulknet.225)
Уважаемый(ая) kok, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.