Agp440.sys или непонятно что

**Tritan** · 04.12.2009, 12:28

Ноутбук выключался при включении интернета.

Полазил по автозагрузке, нашел там agp440. Ну узле Майкрософт нашел, что эта служба вызывает проблемы (http://support.microsoft.com/kb/324764/ru). Зашел в консоль восстановления, отключил ее.
Какое-то время все было нормально.
Потом служба появилась опять. При подключении интернета все время просылается какая-то информация.

AVZ не запускается. Прилагаю лог HiJackThis.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**thyrex** · 04.12.2009, 13:03

Попробуйте сделать логи полиморфным AVZ

**Tritan** · 04.12.2009, 13:21

Полиморфный не запускается.
Кстати, эксплорер тоже не запускается. Только опера.

Может опять через консоль восстановления этот agp440 выгрузить?

**thyrex** · 04.12.2009, 15:02

system32\drivers\agp440.sys замените на чистый с дистрибутива http://virusinfo.info/showthread.php?t=51654

Пролечитесь http://virusinfo.info/showthread.php?t=15927
Вариант с LiveCD предпочтительнее

**Tritan** · 05.12.2009, 15:14

thyrex, сделано. Не знаю, насколько успешно только.
Live CD Dr.Web не загрузился. Использовал Live CD Vba32 Rescue. Он нашел с десяток вредоносных программ. Пункт с карантином из инструкции я как-то не нашел. Но отчет есть + папка mnt.
Сделал логи avz и hijackthis.

**thyrex** · 05.12.2009, 15:28

Пофиксите в HiJack

Код:

 F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
O20 - AppInit_DLLs: winmm.dll

Выполните скрипт в AVZ

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('D:\Страрая инфа\Диск C\Program Files\Realty\im.dll','');
 QuarantineFile('D:\Страрая инфа\Диск C\Program Files\RuPass\RuPass.dll','');
 QuarantineFile('C:\DOCUME~1\9335~1\LOCALS~1\bljlcqc.old','');
 QuarantineFile('C:\WINDOWS\system32\drivers\netsik.sys','');
 DeleteService('netsik');
 DeleteFile('C:\WINDOWS\system32\drivers\netsik.sys');
 DeleteFile('C:\DOCUME~1\9335~1\LOCALS~1\bljlcqc.old');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Drivers32','midi9');
 DeleteFile('C:\Documents and Settings\Администратор\Application Data\Desktopicon\eBayShortcuts.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

Сделайте новые логи

**Tritan** · 05.12.2009, 17:01

Сделано.

**snifer67** · 05.12.2009, 19:27

Выполните скрипт в avz

Код:

begin
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\Documents and Settings\Администратор\Local Settings\Application Data\qip\iercpt.dll','');
 DeleteFile('D:\Страрая инфа\Диск C\Program Files\RuPass\RuPass.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

ПК перезагрузится.

Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

Сделайте новый лог из пункта 2 Диагностики (virusinfo_syscheck.zip) и приложите к этой теме.

**Tritan** · 05.12.2009, 20:39

Сделано.

**snifer67** · 05.12.2009, 21:38

Чисто.

Установите SP3 (может потребоваться активация) + все новые заплатки

**Tritan** · 05.12.2009, 22:10

Спасибо, сейчас поставлю.

**CyberHelper** · 06.12.2009, 22:10

Статистика проведенного лечения:

Получено карантинов: 2
Обработано файлов: 13
В ходе лечения обнаружены вредоносные программы:
1. d:\страрая инфа\диск c\program files\rupass\rupass.dll - not-a-virus:AdWare.Win32.RuPorn.b ( DrWEB: Adware.Rupass, BitDefender: Adware.Generic.31748, AVAST4: Win32:RuPorn [Adw] )