Bob Rowsky Опубликовано 26 мая, 2010 Поделиться Опубликовано 26 мая, 2010 Понял. Ночером сделаю образ. Доступа к реестру пока нет Ссылка на комментарий Поделиться на другие сайты Поделиться
Римус Опубликовано 27 мая, 2010 Автор Поделиться Опубликовано 27 мая, 2010 (изменено) Удалите параметр C:\WINDOWS\system32\qcsn.dll и сам файл. Параметр я удалил. А сам файл где удалить? Что-то я его не вижу. А всё, нашел я файл. 156kb , но датирован он 25 мая, хотя вирус я получил 23 мая. Изменено 27 мая, 2010 пользователем Римус Ссылка на комментарий Поделиться на другие сайты Поделиться
snifer67 Опубликовано 27 мая, 2010 Поделиться Опубликовано 27 мая, 2010 Римус, Загрузитесь в обычном режиме и выполните правила. Ссылка на комментарий Поделиться на другие сайты Поделиться
Римус Опубликовано 27 мая, 2010 Автор Поделиться Опубликовано 27 мая, 2010 Компьютер запустился, зашёл с него на форум. Но Антивирус Касперского не запустился. Я его попробовал восстановить, он обновился, но не запускается. Поэтому пункт «1. Если у Вас есть антивирус - обновите его базы и проверьте компьютер.» невозможен. Попробую со второго пункта. Касперский так и не запустился. Скину всё, что сохранилось. virusinfo_syscure.zip virusinfo_syscheck.zip hijackthis.log Сообщение от модератора thyrex Удалил карантин Ссылка на комментарий Поделиться на другие сайты Поделиться
thyrex Опубликовано 27 мая, 2010 Поделиться Опубликовано 27 мая, 2010 Выполните скрипт в AVZ begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\dllcache\wmvds32.ax:YB0Gdxt+tKP:$DATA',''); DelBHO('{6D125299-C2A9-4DBC-BEC3-6F7124E39A41}'); QuarantineFile('C:\DOCUME~1\C4C4~1\APPLIC~1\FieryAds\FieryAds.dll',''); DeleteFile('C:\DOCUME~1\C4C4~1\APPLIC~1\FieryAds\FieryAds.dll'); DeleteFile('C:\WINDOWS\system32\dllcache\wmvds32.ax:YB0Gdxt+tKP:$DATA'); BC_ImportAll; ExecuteSysClean; BC_Activate; ExecuteRepair(6); ExecuteRepair(11); ExecuteRepair(17); RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1); RebootWindows(true); end. Компьютер перезагрузится. Выполните скрипт в AVZ begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. quarantine.zip из папки AVZ отправьте через форму http://support.kaspersky.ru/virlab/helpdesk.html. В строке "Подробное описание возникшей ситуации:" напишите пароль на архив "virus" (без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Полученный ответ сообщите здесь. Сделайте новые логи Выполните дополнительно Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол. 1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет, пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix. 2. Запустите combofix.exe, когда процесс завершится, файл C:\ComboFix.txt прикрепите к сообщению. Примечание: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe Ссылка на комментарий Поделиться на другие сайты Поделиться
Римус Опубликовано 27 мая, 2010 Автор Поделиться Опубликовано 27 мая, 2010 Полученный ответ сообщите здесь. Сделайте новые логи Скрипт выполнил. Файл отправил и получил следующий ответ: «This message is generated by automatic letter reception system. The report contains information on what the verdicts on the files (if any in the letter) makes antivirus with latest updates. Letter will be passed to the virus analyst. wmvds32.ax:YB0Gdxt+tKP:$DATA This file is in process.» А можно поподробнее насчет «Сделайте новые логии». Ссылка на комментарий Поделиться на другие сайты Поделиться
Falcon Опубликовано 27 мая, 2010 Поделиться Опубликовано 27 мая, 2010 А можно поподробнее насчет «Сделайте новые логии». Правила заново выполните. Ссылка на комментарий Поделиться на другие сайты Поделиться
Римус Опубликовано 27 мая, 2010 Автор Поделиться Опубликовано 27 мая, 2010 Новые логи virusinfo_syscure.zip virusinfo_syscheck.zip hijackthis.log Ссылка на комментарий Поделиться на другие сайты Поделиться
snifer67 Опубликовано 27 мая, 2010 Поделиться Опубликовано 27 мая, 2010 Не сделали лог ComboFix. Ссылка на комментарий Поделиться на другие сайты Поделиться
Римус Опубликовано 27 мая, 2010 Автор Поделиться Опубликовано 27 мая, 2010 Что-то не получается его запустить. То есть программа запускается, а потом появляется окно ссылкой на сайт и ещё какой-то инфой и запрос да или нет. Ссылка на комментарий Поделиться на другие сайты Поделиться
snifer67 Опубликовано 27 мая, 2010 Поделиться Опубликовано 27 мая, 2010 Жмите "нет". Ссылка на комментарий Поделиться на другие сайты Поделиться
Римус Опубликовано 27 мая, 2010 Автор Поделиться Опубликовано 27 мая, 2010 Всё равно дальше не идёт. Ссылка на комментарий Поделиться на другие сайты Поделиться
snifer67 Опубликовано 27 мая, 2010 Поделиться Опубликовано 27 мая, 2010 Скачайте RSIT или отсюда. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска. Ссылка на комментарий Поделиться на другие сайты Поделиться
Римус Опубликовано 27 мая, 2010 Автор Поделиться Опубликовано 27 мая, 2010 info.txt log.txt Ссылка на комментарий Поделиться на другие сайты Поделиться
snifer67 Опубликовано 27 мая, 2010 Поделиться Опубликовано 27 мая, 2010 Выполните скрипт в avz begin ExecuteRepair(19); RebootWindows(true); end. ПК перезагрузится. Скачайте OTM by OldTimer или с зеркала и сохраните на рабочий стол. Запустите OTM (в ОС Windows Vista необходимо запускать через правую кн. мыши от имени администратора) Временно выключите антивирус, firewall и другое защитное программное обеспечение. Выделите и скопируйте текст ниже (Ctrl+C) :Processes explorer.exe :Services :Files C:\WINDOWS\system32\cq.dll C:\WINDOWS\system32\apurst.dll C:\WINDOWS\system32\zcjou.dll C:\WINDOWS\system32\pw.dll C:\WINDOWS\system32\ebguyz.dll :Reg :Commands [purity] [emptytemp] [start explorer] [Reboot] В OTM под панелью "Paste Instructions for Items to be Moved" (под желтой панелью) вставьте скопированный текст и нажмите кнопку "MoveIt!". Компьютер перезагрузится. После перезагрузки откройте папку "C:\_OTM\MovedFiles", найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение. пуск-выполнить-regedit Зайдите в ветку: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run Удалите все пустые безымянные значения. Ссылка на комментарий Поделиться на другие сайты Поделиться
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти