Izcipica.exe,RMHBZ.еxе или помощь по проблеме autorun

[Zzhek]

Помогите избавиться от этого недуга

 

Такая система друзья,опишу все по порядку,на флешках создается файл autorun,удалить который нельзя,пишет типа занят другим приложением или нет доступа.Ладно,думаю удаль антиавторуном,но не тут то было,не все утилиты смогли удалить.Удалила антиавторан 3 версии и создала защитную папку.Но тут еще нашел на флешке скрытый файл Izcipica.exe который как оказывается тоже вирус,так вот блин не могу найти главный генератор этого вируса на компе.С флеш то можно удалить форматированием,но где на компе сидит глава его,где сам рассадник? Подскажите как и чем лечить его?

 

Прошу извинения если что то не так сделал при создании темы.Я тут первый раз

[Roman_Five]

Подскажите как и чем лечить его?

 

выполните правила.

приложите 3 файла логов

Изменено 30 сентября, 2010 пользователем Roman_Five

[Zzhek]

Можно подробнее какие файлы,где их взять

[Mark D. Pearlstone]

Можно подробнее какие файлы,где их взять

Перейдите по ссылке из сообщения Roman_Five, там всё написано.

[Roman_Five]

правила читали?

Для диагностики вашего компьютера консультантам на форуме требуются протоколы исследования системы. Пожалуйста, выполните инструкции, изложенные ниже. В результате у вас должны иметься три протокола: virusinfo_syscheck.zip, virusinfo_syscure.zip и hijackthis.log.

[Zzhek]

Понял,не удаляйте тему,скоро все сделаю и выложу

[Zzhek]

Вот тут три лога от программ.Жду дальнейших действий

для_исследования.rar

[Roman_Five]

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\дом\Application Data\rmhzb.exe','');
QuarantineFile('C:\WINDOWS\TEMP\mc21.tmp','');
DeleteFile('C:\WINDOWS\TEMP\mc21.tmp');
DeleteFile('C:\Documents and Settings\дом\Application Data\rmhzb.exe');
RegKeyParamDel('HKLM','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(1);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

Для создания архива с карантином выполните скрипт:

begin
CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip');
end.

Отправьте на проверку файл Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лпборатории Касперского и зарегистрированы).

Для получения ответа в более короткий срок отправьте ваш запрос через Личный кабинет.

В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек).

В строке "Электронный адрес:" укажите адрес своей электронной почты.

Полученный ответ сообщите в этой теме.

Если размер карантина превышает 1,5 мегабайта, отправьте карантин по электронной почте на адрес "newvirus@kaspersky.com".

 

Пофиксите в HijackThis (некоторых строк после выполнения первого скрипта AVZ может уже не быть):

R3 - URLSearchHook: (no name) -  - (no file)

Сделайте новые логи по правилам (с подключёнными флэшками).

Изменено 5 октября, 2010 пользователем Roman_Five

[Zzhek]

Извини пожалуйста за неудобство,не мог бы скрипты все в текстовый документ,а то я тут с телефона сижу.

Еще не пойму файл карантин.зип сюда можно выложить?

И как подробнее пожалуйста напиши пофиксить в hijech

[Roman_Five]

1. скрипт 1 и 2

sc1.txt

sc2.txt

2. нельзя. только туда, куда указано

3. там ссылка. читаем.

[Zzhek]

А как мне отправить файл карантин зип если я не являюсь пользователем касперского

[Mark D. Pearlstone]

А как мне отправить файл карантин зип если я не являюсь пользователем касперского

Отправьте на проверку файл Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы).

Для получения ответа в более короткий срок отправьте ваш запрос через Личный кабинет.

В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек).

В строке "Электронный адрес:" укажите адрес своей электронной почты.

Полученный ответ сообщите в этой теме.

Если размер карантина превышает 1,5 мегабайта, отправьте карантин по электронной почте на адрес "newvirus@kaspersky.com".

[Zzhek]

Вот логи после лечения

 

Ну как там с логами?

 

Кстати,а теперь можно ли включить восстановление системы?

 

Восстановление системы можно включить?

для_исследования_2.rar

[thyrex]

Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

 

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет, пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.

2. Запустите combofix.exe, когда процесс завершится, файл C:\ComboFix.txt прикрепите к сообщению.

Примечание: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

[Zzhek]

А что это за программа и для чего

 

Кстати не знаете что такое и как исправить.Раньше когда вставлял флешку в комп появлялось окно выбора действия а щас нету ничего.Такая же система и с дисками.