Bob Rowsky 0 Опубликовано 26 мая, 2010 Share Опубликовано 26 мая, 2010 Понял. Ночером сделаю образ. Доступа к реестру пока нет Цитата Ссылка на сообщение Поделиться на другие сайты
Римус 0 Опубликовано 27 мая, 2010 Автор Share Опубликовано 27 мая, 2010 (изменено) Удалите параметр C:\WINDOWS\system32\qcsn.dll и сам файл. Параметр я удалил. А сам файл где удалить? Что-то я его не вижу. А всё, нашел я файл. 156kb , но датирован он 25 мая, хотя вирус я получил 23 мая. Изменено 27 мая, 2010 пользователем Римус Цитата Ссылка на сообщение Поделиться на другие сайты
snifer67 120 Опубликовано 27 мая, 2010 Share Опубликовано 27 мая, 2010 Римус, Загрузитесь в обычном режиме и выполните правила. Цитата Ссылка на сообщение Поделиться на другие сайты
Римус 0 Опубликовано 27 мая, 2010 Автор Share Опубликовано 27 мая, 2010 Компьютер запустился, зашёл с него на форум. Но Антивирус Касперского не запустился. Я его попробовал восстановить, он обновился, но не запускается. Поэтому пункт «1. Если у Вас есть антивирус - обновите его базы и проверьте компьютер.» невозможен. Попробую со второго пункта. Касперский так и не запустился. Скину всё, что сохранилось. virusinfo_syscure.zip virusinfo_syscheck.zip hijackthis.log Сообщение от модератора thyrex Удалил карантин Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 27 мая, 2010 Share Опубликовано 27 мая, 2010 Выполните скрипт в AVZ begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\dllcache\wmvds32.ax:YB0Gdxt+tKP:$DATA',''); DelBHO('{6D125299-C2A9-4DBC-BEC3-6F7124E39A41}'); QuarantineFile('C:\DOCUME~1\C4C4~1\APPLIC~1\FieryAds\FieryAds.dll',''); DeleteFile('C:\DOCUME~1\C4C4~1\APPLIC~1\FieryAds\FieryAds.dll'); DeleteFile('C:\WINDOWS\system32\dllcache\wmvds32.ax:YB0Gdxt+tKP:$DATA'); BC_ImportAll; ExecuteSysClean; BC_Activate; ExecuteRepair(6); ExecuteRepair(11); ExecuteRepair(17); RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1); RebootWindows(true); end. Компьютер перезагрузится. Выполните скрипт в AVZ begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. quarantine.zip из папки AVZ отправьте через форму http://support.kaspersky.ru/virlab/helpdesk.html. В строке "Подробное описание возникшей ситуации:" напишите пароль на архив "virus" (без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Полученный ответ сообщите здесь. Сделайте новые логи Выполните дополнительно Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол. 1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет, пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix. 2. Запустите combofix.exe, когда процесс завершится, файл C:\ComboFix.txt прикрепите к сообщению. Примечание: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe Цитата Ссылка на сообщение Поделиться на другие сайты
Римус 0 Опубликовано 27 мая, 2010 Автор Share Опубликовано 27 мая, 2010 Полученный ответ сообщите здесь. Сделайте новые логи Скрипт выполнил. Файл отправил и получил следующий ответ: «This message is generated by automatic letter reception system. The report contains information on what the verdicts on the files (if any in the letter) makes antivirus with latest updates. Letter will be passed to the virus analyst. wmvds32.ax:YB0Gdxt+tKP:$DATA This file is in process.» А можно поподробнее насчет «Сделайте новые логии». Цитата Ссылка на сообщение Поделиться на другие сайты
Falcon 169 Опубликовано 27 мая, 2010 Share Опубликовано 27 мая, 2010 А можно поподробнее насчет «Сделайте новые логии». Правила заново выполните. Цитата Ссылка на сообщение Поделиться на другие сайты
Римус 0 Опубликовано 27 мая, 2010 Автор Share Опубликовано 27 мая, 2010 Новые логи virusinfo_syscure.zip virusinfo_syscheck.zip hijackthis.log Цитата Ссылка на сообщение Поделиться на другие сайты
snifer67 120 Опубликовано 27 мая, 2010 Share Опубликовано 27 мая, 2010 Не сделали лог ComboFix. Цитата Ссылка на сообщение Поделиться на другие сайты
Римус 0 Опубликовано 27 мая, 2010 Автор Share Опубликовано 27 мая, 2010 Что-то не получается его запустить. То есть программа запускается, а потом появляется окно ссылкой на сайт и ещё какой-то инфой и запрос да или нет. Цитата Ссылка на сообщение Поделиться на другие сайты
snifer67 120 Опубликовано 27 мая, 2010 Share Опубликовано 27 мая, 2010 Жмите "нет". Цитата Ссылка на сообщение Поделиться на другие сайты
Римус 0 Опубликовано 27 мая, 2010 Автор Share Опубликовано 27 мая, 2010 Всё равно дальше не идёт. Цитата Ссылка на сообщение Поделиться на другие сайты
snifer67 120 Опубликовано 27 мая, 2010 Share Опубликовано 27 мая, 2010 Скачайте RSIT или отсюда. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска. Цитата Ссылка на сообщение Поделиться на другие сайты
Римус 0 Опубликовано 27 мая, 2010 Автор Share Опубликовано 27 мая, 2010 info.txt log.txt Цитата Ссылка на сообщение Поделиться на другие сайты
snifer67 120 Опубликовано 27 мая, 2010 Share Опубликовано 27 мая, 2010 Выполните скрипт в avz begin ExecuteRepair(19); RebootWindows(true); end. ПК перезагрузится. Скачайте OTM by OldTimer или с зеркала и сохраните на рабочий стол. Запустите OTM (в ОС Windows Vista необходимо запускать через правую кн. мыши от имени администратора) Временно выключите антивирус, firewall и другое защитное программное обеспечение. Выделите и скопируйте текст ниже (Ctrl+C) :Processes explorer.exe :Services :Files C:\WINDOWS\system32\cq.dll C:\WINDOWS\system32\apurst.dll C:\WINDOWS\system32\zcjou.dll C:\WINDOWS\system32\pw.dll C:\WINDOWS\system32\ebguyz.dll :Reg :Commands [purity] [emptytemp] [start explorer] [Reboot] В OTM под панелью "Paste Instructions for Items to be Moved" (под желтой панелью) вставьте скопированный текст и нажмите кнопку "MoveIt!". Компьютер перезагрузится. После перезагрузки откройте папку "C:\_OTM\MovedFiles", найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение. пуск-выполнить-regedit Зайдите в ветку: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run Удалите все пустые безымянные значения. Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.