Помогите лечить ПК.

[ElenKa]

Мне посоветовали обратиться сюда. В ноябре комп уже летел. Боюсь, что хочет опять.

Не могу активировать ключ. Отсутствует "Черный" список.

virusinfo_syscheck.htm

virusinfo_syscheck.zip

hijackthis.log

Изменено 13 апреля, 2011 пользователем ElenKa

[Roman_Five]

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
ClearHostsFile;
TerminateProcessByName('c:\program files\ticno\tabs\ticno tabs.exe');
TerminateProcessByName('c:\program files\ticno\tabs\tiny.exe');
TerminateProcessByName('C:\WINDOWS\system32\C1A82A\986223.EXE');
SetServiceStart('sysdrv32', 4);
SetServiceStart('kgrwhlcu', 4);
SetServiceStart('mkdrv', 4);
StopService('sysdrv32');
StopService('mkdrv');
QuarantineFile('C:\WINDOWS\hfnmc.sys','');
QuarantineFile('C:\WINDOWS\system32\*.scr','');
QuarantineFile('C:\WINDOWS\system32\csrcs.exe','');
QuarantineFile('c:\program files\ticno\*.*','');
QuarantineFile('iexplore.exe','');
QuarantineFile('ldr.dll','');
QuarantineFile('C:\Documents and Settings\User\Application Data\samson\winarj.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\sysdrv32.sys','');
QuarantineFile('C:\WINDOWS\system32\*.tmp','');
QuarantineFile('C:\WINDOWS\system32\drivers\nvhda32.sys','');
QuarantineFile('C:\WINDOWS\sgope.sys','');
DeleteFile('C:\WINDOWS\sgope.sys');
DeleteFileMask('C:\WINDOWS\system32\','*.tmp ',false ,' ');
DeleteFile('C:\Documents and Settings\User\Application Data\samson\winarj.exe');
DeleteFileMask('C:\WINDOWS\system32\C1A82A\','*.* ',true ,' ');
DeleteDirectory('C:\WINDOWS\system32\C1A82A\',' ');
DeleteFileMask('C:\WINDOWS\system32\','*.scr ',false ,' ');
DeleteFile('\?\C:\WINDOWS\sgope.sys');
DeleteFile('C:\WINDOWS\system32\csrcs.exe');
DeleteFile('C:\WINDOWS\hfnmc.sys');
DeleteFile('C:\WINDOWS\system32\Drivers\sysdrv32.sys');
DelBHO('{0CB66BA8-5E1F-4963-93D1-E1D6B78FE9A2}');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','winxarj');
DeleteService('sysdrv32');
DeleteService('kgrwhlcu');
DeleteService('mkdrv');
DelAutorunByFileName('C:\WINDOWS\system32\C1A82A\986223.EXE');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteFile('C:\WINDOWS\sgope.sys');
BC_DeleteFile('C:\Documents and Settings\User\Application Data\samson\winarj.exe');
BC_DeleteFile('\?\C:\WINDOWS\sgope.sys');
BC_DeleteFile('C:\WINDOWS\hfnmc.sys');
BC_DeleteFile('C:\WINDOWS\system32\Drivers\sysdrv32.sys');
BC_DeleteSvc('mkdrv');
BC_DeleteSvc('sysdrv32');
BC_Activate;
ExecuteWizard('SCU', 2, 2, true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

Для создания архива с карантином выполните скрипт:

begin
CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip');
end.

Отправьте на проверку файл Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы).

Для получения ответа в более короткий срок отправьте Ваш запрос через Личный кабинет.

В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек).

В строке "Электронный адрес:" укажите адрес своей электронной почты.

Полученный ответ сообщите в этой теме.

 

Пофиксите в HijackThis (некоторых строк после выполнения первого скрипта AVZ может уже не быть):

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.smaxi.net
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.smaxi.net
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.smaxi.net
O1 - Hosts: fdfb6tyhjhg56
O1 - Hosts: 76.76.116.123 www.telebank.ru
O1 - Hosts: 76.76.116.123 telebank.ru
O1 - Hosts: 76.76.116.126 www.alfabank.ru
O1 - Hosts: 76.76.116.126 alfabank.ru
O1 - Hosts: 76.76.116.126 click.alfabank.ru
O1 - Hosts: 76.76.116.124 sbrf.ru
O1 - Hosts: 76.76.116.124 www.sbrf.ru
O1 - Hosts: 76.76.116.124 www.esk.sbrf.ru
O1 - Hosts: 76.76.116.124 esk.sbrf.ru
O1 - Hosts: 76.76.116.126 www.click.alfabank.ru
O1 - Hosts: довать соответствующее имя.
O2 - BHO: BhoApp Class - {0CB66BA8-5E1F-4963-93D1-E1D6B78FE9A2} - C:\Program Files\Ticno\Tabs\BhoNew_0317.dll
O4 - HKLM\..\Run: [winxarj] "C:\Documents and Settings\User\Application Data\samson\winarj.exe" autostart
O4 - HKCU\..\RunOnce: [ie_bar] iexplore.exe http://ticno.com/?c=first
O4 - Global Startup: Tabs.lnk = C:\Program Files\Ticno\Tabs\Ticno Tabs.exe

 

Проверьте компьютер утилитой TDSSkiller из данной статьи.

http://support.kaspersky.ru/faq/?qid=208639606

Полученный лог из корня диска С приложите к новому сообщению.

+

Сделайте новые логи по правилам.

+

Сделайте лог GMER

http://forum.kasperskyclub.ru/index.php?sh...st&p=108482

полученный лог прикрепите.

Изменено 13 апреля, 2011 пользователем Roman_Five

[ElenKa]

Кажется сделала.

 

получилось!

hijackthis.log

TDSSKiller.2.4.21.0_14.04.2011_12.20.01_log.txt

virusinfo_syscheck.zip

проверка.log

[Roman_Five]

Проверьте систему на Kido

инструкция в личке.

 

После проверки:

1) деинсталлируйте Ticno Tabs (раз не нужен)

2) выполните скрипт:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
SetServiceStart('wfnrozvw', 4);
StopService('NVHDA');
StopService('wfnrozvw');
QuarantineFile('ldr.dll','');
QuarantineFile('C:\WINDOWS\system32\drivers\nvhda32.sys','');
QuarantineFile('C:\WINDOWS\system32\02.tmp','');
DeleteFile('C:\WINDOWS\system32\02.tmp');
DeleteFileMask('C:\Program Files\Ticno\','*.* ',true ,' ');
DeleteDirectory('C:\Program Files\Ticno\ ',' ');
DeleteService('wfnrozvw');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteFile('C:\WINDOWS\system32\02.tmp');
BC_DeleteSvc('wfnrozvw');
BC_Activate;
ExecuteWizard('TSW',1,1,true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

Для создания архива с карантином выполните скрипт:

begin
CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip');
end.

Отправьте на проверку файл Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы).

Для получения ответа в более короткий срок отправьте Ваш запрос через Личный кабинет.

В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек).

В строке "Электронный адрес:" укажите адрес своей электронной почты.

Полученный ответ сообщите в этой теме.

 

3) скачайте OSAM

установите. запустите. дождитесь окончания сканирования.

полученный лог osam.html прикрепите к новому сообщению.

 

4) Сделайте новые логи по правилам.

 

P.s.:

рано или поздно Вам придётся проделать ещё эти операции (самое важное - установить SP3 и обновления на Windows). можно уже начинать, параллельно с лечением.

 

После проведённого лечения рекомендуется установить следующие обновления:

- установить текущий пакет обновлений (SP) для Windows (может потребоваться активация Windows)

* выберите SP для своей версии Windows: Windows XP - SP3, Windows Vista x86 - SP2x86, Windows Vista x64 - SP2x64, Windows 7 x86 - SP1x86, Windows 7 x64 - SP1x64

- обновить Internet Explorer до версии 8.0 (даже если им не пользуетесь!)

- все обновления на Windows (может потребоваться активация Windows)

[ElenKa]

Спасибо огромное. Сделала как сказали. Касперский теперь в боевой готовности

Изменено 14 апреля, 2011 пользователем ElenKa

[Mark D. Pearlstone]

ElenKa

Это выполнили? http://forum.kasperskyclub.ru/index.php?sh...st&p=394180

Если да, то нужны новые логи по правилам.

[ElenKa]

выполняю

hijackthis.log

osam.html

virusinfo_syscheck.zip

Изменено 15 апреля, 2011 пользователем ElenKa

[Roman_Five]

ElenKa,

Вы выполняли скрипт из моего прошлого поста?

если да, повторите его выполнение в безопасном режиме.

если нет, сделайте в обычном.

после этого обновите базы AVZ и сделайте 2 новых лога.

 

запустите OSAM. дождитесь окончания сканирования.

в дереве слева в разделе Drivers выберите ветку HKLM\SYSTEM\CurrentControlSet\Services

справа найдите объект "wfnrozvw" (wfnrozvw)

правый клик по нему - Turn run OFF

в дереве слева в разделе Services выберите ветку HKLM\SYSTEM\CurrentControlSet\Services

справа найдите объект "Image System" (euxrjtay)

правый клик по нему - Turn run OFF

внизу справа нажмите Apply

перезагрузите компьютер.

запустите OSAM. дождитесь окончания сканирования.

вверху слева нажмите Save Log

полученный лог osam.html прикрепите к новому сообщению.

[ElenKa]

не получается

1) деинсталлируйте Ticno Tabs (раз не нужен)

2) выполните скрипт:

[Roman_Five]

1) антивирус можете отключить на время выполнения скрипта?

2) если запрещено политикой - применить для всех и разрешить

[ElenKa]

сделала

osam.html

[Tiare]

ElenKa, вы выполнили рекомендации из этих постов?

 

ElenKa,

Вы выполняли скрипт из моего прошлого поста?

если да, повторите его выполнение в безопасном режиме.

если нет, сделайте в обычном.

после этого обновите базы AVZ и сделайте 2 новых лога.

 

запустите OSAM. дождитесь окончания сканирования.

в дереве слева в разделе Drivers выберите ветку HKLM\SYSTEM\CurrentControlSet\Services

справа найдите объект "wfnrozvw" (wfnrozvw)

правый клик по нему - Turn run OFF

в дереве слева в разделе Services выберите ветку HKLM\SYSTEM\CurrentControlSet\Services

справа найдите объект "Image System" (euxrjtay)

правый клик по нему - Turn run OFF

внизу справа нажмите Apply

перезагрузите компьютер.

запустите OSAM. дождитесь окончания сканирования.

вверху слева нажмите Save Log

полученный лог osam.html прикрепите к новому сообщению.

 

1) антивирус можете отключить на время выполнения скрипта?

2) если запрещено политикой - применить для всех и разрешить

 

Если делали, расскажите что именно и что не получилось? Вижу, что лог OSAM вы сделали, а действия с выделенными объектами (wfnrozvw и euxrjtay) совершали?

Изменено 15 апреля, 2011 пользователем Tiare

[ElenKa]

На данный момент все уже вроде получилось. Отключила антивирус и выполнила скрипт.

Вижу, что лог OSAM вы сделали, а действия с выделенными объектами (wfnrozvw и euxrjtay) совершали?- совершала.

[Roman_Five]

ElenKa,

пока у вас не закончился рабочий день, ещё это

после этого обновите базы AVZ и сделайте 2 новых лога.

[ElenKa]

обновление базы - выдает ошибку: