Показать полную графическую версию : [решено] Explorer.exe очистка невозможна
Здравствуйте поймал какую-то бяку.
Eset пишет : 31.01.2012 13:27:45 Модуль сканирования файлов, исполняемых при запуске системы файл Оперативная память » explorer.exe(444) модифицированный Win32/Spy.Shiz.NCE троянская программа очистка невозможна MICROSOF-CB4A0C\Admin
Также перезагрузившись после 3 скипта C:\WINDOWS\apppatch\mpwkua.exe не является приложением Win32. [OK]
Посмотрите логи плизз.
Да, после заражения появился процесс java.exe после некоторые сайты не открывались, ролики Youtube не воспоизводились. Сейчас процесс исчез. ролики работают.
Пофиксите в HiJack
F3 - REG:win.ini: load=C:\WINDOWS\apppatch\mpwkua.exe
F3 - REG:win.ini: run=C:\WINDOWS\apppatch\mpwkua.exe
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\apppatch\mpwkua.exe,
Выполните скрипт в AVZ
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\apppatch\mpwkua.exe','');
DeleteFile('C:\WINDOWS\apppatch\mpwkua.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','userinit');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','System');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end. Компьютер перезагрузится.
Выполните скрипт в AVZ
begin
CreateQurantineArchive('c:\quarantine.zip');
end.Отправьте c:\quarantine.zip при помощи этой формы (http://www.oszone.net/virusnet/)
Сделайте новые логи
Извините я отходил. Ситуация такая комп вис сильно, я не смог в нет зайти.
Сделал восстановление с резервной копии Acronics. Сейчас вроде в норме все, но не уверен что образ был не заражен, прилагаю логи на данный момент. Посмотрите
Пофиксите в HiJack
F2 - REG:system.ini: Shell=C:\WINDOWS\EXPLORER.EXE
F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\USERINIT.EXEБольше ничего необычного
Пароли рекомендую сменить
Если паролей около 50 их все менять?
Или только те, которые вводил в период заражения?
© OSzone.net 2001-2012
vBulletin v3.6.4, Copyright ©2000-2025, Jelsoft Enterprises Ltd.
Available in ZeroNet 1osznRoVratMCN3bFoFpR2pSV5c9z6sTC