-
Junior Member
- Вес репутации
- 53
Agp440.sys или непонятно что
Ноутбук выключался при включении интернета.
Полазил по автозагрузке, нашел там agp440. Ну узле Майкрософт нашел, что эта служба вызывает проблемы (http://support.microsoft.com/kb/324764/ru). Зашел в консоль восстановления, отключил ее.
Какое-то время все было нормально.
Потом служба появилась опять. При подключении интернета все время просылается какая-то информация.
AVZ не запускается. Прилагаю лог HiJackThis.
Последний раз редактировалось Tritan; 14.01.2010 в 17:42.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Попробуйте сделать логи полиморфным AVZ
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 53
Полиморфный не запускается.
Кстати, эксплорер тоже не запускается. Только опера.
Может опять через консоль восстановления этот agp440 выгрузить?
Последний раз редактировалось Tritan; 04.12.2009 в 13:29.
-
system32\drivers\agp440.sys замените на чистый с дистрибутива http://virusinfo.info/showthread.php?t=51654
Пролечитесь http://virusinfo.info/showthread.php?t=15927
Вариант с LiveCD предпочтительнее
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 53
thyrex, сделано. Не знаю, насколько успешно только.
Live CD Dr.Web не загрузился. Использовал Live CD Vba32 Rescue. Он нашел с десяток вредоносных программ. Пункт с карантином из инструкции я как-то не нашел. Но отчет есть + папка mnt.
Сделал логи avz и hijackthis.
Последний раз редактировалось Tritan; 14.01.2010 в 17:42.
-
Пофиксите в HiJack
Код:
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
O20 - AppInit_DLLs: winmm.dll
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('D:\Страрая инфа\Диск C\Program Files\Realty\im.dll','');
QuarantineFile('D:\Страрая инфа\Диск C\Program Files\RuPass\RuPass.dll','');
QuarantineFile('C:\DOCUME~1\9335~1\LOCALS~1\bljlcqc.old','');
QuarantineFile('C:\WINDOWS\system32\drivers\netsik.sys','');
DeleteService('netsik');
DeleteFile('C:\WINDOWS\system32\drivers\netsik.sys');
DeleteFile('C:\DOCUME~1\9335~1\LOCALS~1\bljlcqc.old');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Drivers32','midi9');
DeleteFile('C:\Documents and Settings\Администратор\Application Data\Desktopicon\eBayShortcuts.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 53
Последний раз редактировалось Tritan; 14.01.2010 в 17:42.
-
Выполните скрипт в avz
Код:
begin
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\Администратор\Local Settings\Application Data\qip\iercpt.dll','');
DeleteFile('D:\Страрая инфа\Диск C\Program Files\RuPass\RuPass.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
ПК перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новый лог из пункта 2 Диагностики (virusinfo_syscheck.zip) и приложите к этой теме.
-
-
Junior Member
- Вес репутации
- 53
Последний раз редактировалось Tritan; 14.01.2010 в 17:42.
-
Чисто.
Установите SP3 (может потребоваться активация) + все новые заплатки
-
-
Junior Member
- Вес репутации
- 53
Спасибо, сейчас поставлю.
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 13
- В ходе лечения обнаружены вредоносные программы:
- d:\страрая инфа\диск c\program files\rupass\rupass.dll - not-a-virus:AdWare.Win32.RuPorn.b ( DrWEB: Adware.Rupass, BitDefender: Adware.Generic.31748, AVAST4: Win32:RuPorn [Adw] )
-