[решено] Снова Autorun.inf

Dokas · Отправлено: **08:40, 10-01-2009** | #11

Прикрепил, ща буду чистить.

Dokas · Отправлено: **08:46, 10-01-2009** | #12

Цитата Pili:

C:\Program Files\\Outlook Express\setup50.exe
C:\WINDOWS\system32\drivers\cctrlu.sys »

Такие файлы по указанному пути не нашел.

Dokas · Отправлено: **09:43, 10-01-2009** | #13

Повторный

Pili · Отправлено: **12:43, 10-01-2009** | #14

Цитата Dokas:

Такие файлы по указанному пути не нашел. »

Показ скрытых файлов включали? С помощью AVZ - сервис - поиск файлов пробовали искать?
Если файлов нет, значит можно почистить скриптом.

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\Program Files\\Outlook Express\setup50.exe','');
 QuarantineFile('C:\WINDOWS\system32\drivers\cctrlu.sys','');
 DeleteFile('C:\WINDOWS\system32\drivers\cctrlu.sys');
 DeleteFile('C:\Program Files\\Outlook Express\setup50.exe');
 DelCLSID('44BBA840-CC51-11CF-AAFA-00AA00B6015C');
 DelCLSID('7790769C-0471-11d2-AF11-00C04FA35D02');
 DeleteService('cctrlu0');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Запустите HiJackThis, нажмите кнопку "Do a system scan only", в открывшемся окне поставьте галочки напротив указанных строк и нажмите кнопку "Fix Checked".

Код:

F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe
O2 - BHO: (no name) - {CF272101-7F6E-4CF2-9453-B4C5D2FC32C0} - (no file)

WinPcap рекомендую деинсталлировать, если не требуется для работы.
Проблемы ещё наблюдаются?

Dokas · Отправлено: **14:14, 10-01-2009** | #15

Цитата Pili:

Показ скрытых файлов включали? С помощью AVZ - сервис - поиск файлов пробовали искать?
Если файлов нет, значит можно почистить скриптом.
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Program Files\\Outlook Express\setup50.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\cctrlu.sys','');
DeleteFile('C:\WINDOWS\system32\drivers\cctrlu.sys');
DeleteFile('C:\Program Files\\Outlook Express\setup50.exe');
DelCLSID('44BBA840-CC51-11CF-AAFA-00AA00B6015C');
DelCLSID('7790769C-0471-11d2-AF11-00C04FA35D02');
DeleteService('cctrlu0');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end. »

Показ скрытых файлов конечно включен, но их нет. AVZ их тоже не видит.
Запускать этот скрипт в AVZ?
Проблема с Autoranом решилась, а вот открытие сетевых дисков что то смущает. Периодически открытие сетевых дисков подвисает секунд на 5-10. Может это уже не вирус? Может это другие проблеммы в сети?

Pili · Отправлено: **19:07, 10-01-2009** | #16

Цитата Dokas:

Запускать этот скрипт в AVZ? »

На ваше усмотрение, скрипт просто почистит реестр, раз файлов нет.

Цитата Dokas:

Может это другие проблеммы в сети? »

Может. Попробуйте воспользоваться утилитой WinsockFix, предварительно запомните настройки сети.

Dokas · Отправлено: **20:13, 10-01-2009** | #17

Цитата Pili:

Попробуйте воспользоваться утилитой WinsockFix, предварительно запомните настройки сети. »

Пошел по ссылке, скачал утилитку, но не понял её предназначение, что она фиксит?

Pili · Отправлено: **21:50, 10-01-2009** | #18

Сбрасывает настройки Winsock

Dokas · Отправлено: **18:10, 12-01-2009** | #19

Выполнил все ваши рекомендации. Вот что заметил:
1.при создании новой папки на сетевом диске система подвисает секунд на пять (это только первый раз, когда заходишь на этот диск, потом папки создаются на ура) затем папка создается и все работает.
2.В диспетчере задач пропали имена пользователей от кого запущена служба или программа, показывает только "бездействие системы" запущено от SYSTEM, остальные процессы - пустое имя пользователя. Это похоже на действия вируса.
Как это исправить?

Dokas · Отправлено: **18:29, 12-01-2009** | #20

Да, и еще чуть не забыл, так же долго открываются вордовские файлы с сетевых дисков (секунд 10). Сетевые диски это файловый сервер на Win Server2003. Раньше такого не было, подскажите, что сделать?