После лечения синий рабочий экран, ярлыков нету

19 октября, 2010

выполните скрипт в AVZ

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\RECYCLER\S-1-5-21-1437802516-2063869448-2831137394-1003\Dc6.rar','');
QuarantineFile('C:\Documents and Settings\sa_root\Рабочий стол\LoadExpertUSB\_iokb9x.dll','');
QuarantineFile('c:\windows\svc2.exe','');
DeleteFile('c:\windows\svc2.exe');
DeleteFile('C:\Documents and Settings\sa_root\Рабочий стол\LoadExpertUSB\_iokb9x.dll');
DeleteFile('C:\RECYCLER\S-1-5-21-1437802516-2063869448-2831137394-1003\Dc6.rar');
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

комп перезагрузится

выполните скрипт

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

Карантин: quarantine.zip отправьте по форме: http://support.kaspersky.ru/virlab/helpdesk.html

Результаты ответа сообщите в теме

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - нажмите "Remove Selected" (удалить выделенные.... смотрите, что удаляете. Если не уверены - не удаляйте). Откройте лог и скопируйте в сообщение.

Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

что с проблемами?

Изменено 19 октября, 2010 пользователем MotherBoard

20 октября, 2010

Сделал все выше указанное.

Не получилось прикрепить Файл "quarantine" так как файл превышает допустимый размер, я его прикреплю к письму

при перезагрузке

В процессах все равно висит этот процесс "svc2.exe"

системы выдает ошибки

в событиях

1)Источник Serive Control Manager

Код ошибки 7026

Сбой при загрузке драйвера(ов) перезагрузки или запуска системы:

crcdisk

2)Источник Application Error

Код ошибки 1000

Ошибка приложения iexplore.exe, версия 8.0.6001.18702,

модуль ntdll.dll, версия 5.2.3790.4455, адрес 0x0004cdf2.

Сделал логи еще раз.

httpwww.getsysteminfo.comread.phpfile=7d4b4004d4bfa97bed72659aebf10ccd

Строгое предупреждение от модератора Mark D. Pearlstone

Не выкладывайте карантин на форум, пожалуйста. Если quarantine.zip превышает размер 1,5 Мб, то отправьте его на newvirus@kaspersky.com

mbam_log_2010_10_20__08_23_16_.txt

Изменено 20 октября, 2010 пользователем Mark D. Pearlstone

20 октября, 2010

Все, что нашел MBAM удалите.

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\System32\userinit.exe','');
QuarantineFile('c:\windows\svc2.exe','');
DeleteFile('c:\windows\svc2.exe');
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
BC_ImportALL;
 ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Полученный архив отправьте при помощи этой формы.

Повторите логи.

20 октября, 2010

Все сделал как Вы писали

Файл с карантин выслал по указанной ссылке

Логи тоже повторил

20 октября, 2010

Выполните скрипт в avz

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\svc2.exe');
DeleteFile('c:\windows\svc2.exe');
DeleteFile('swmxrkfa.sys');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

ПК перезагрузится.

Скачайте ComboFix здесь, здесь, и сохраните на рабочий стол.

1.Внимание!Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.

2. Запустите combofix.exe, когда процесс завершится, запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.

Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

20 октября, 2010

Одна проблема, Combofix ругается на то что он не работает с windows server 2003

20 октября, 2010

Лог авз сделайте.

20 октября, 2010

Вот логи

и скрин шон ошибки которая выскакивает при каждой перезагрузки системы

20 октября, 2010

скачайте OSAM

установите. запустите. дождитесь окончания сканирования.

в дереве слева в разделе Logon выберите ветку HKСU\Software\Microsoft\Windows\CurrentVersion\Run

справа найдите объект NetLog2

правый клик по нему - Turn run OFF

внизу справа нажмите Apply

вверху справа нажмите Save Log

перезагрузите компьютер.

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\WINDOWS\svc2.exe','');
DeleteFile('C:\WINDOWS\svc2.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','NetLog2');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

Для создания архива с карантином выполните скрипт:

begin
CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip');
end.

Сделайте новые логи по правилам.

прикрепите и лог OSAM

20 октября, 2010

Новые логи

osam.html