Комп перезагружаеться после включения и другие проблемы, помогите!

[Tionard 0]

Итак, мой брат сидел за компом и повелся на прикол вконтакте. Мол пришло сообщение- привет как дела? от друга. Потом ссылка на видео из якобы ютуба. Он загрузил вирус оттуда, поверив что ему действительно нужно скачать какой-то кодак. Ну вот. Сначало комп перезагружался в безопасный режим, потом обратно. Отключаеш шнур локального соединения - включаеться и работает. Проверял комп и компактной версией касперского и Анти-малваром, находило вирусы, чистило, после перезагрузки опять все сначала. Подумал поставить каспера 11, до активации дела не дошло, подключил сетевой шнур - комп перезагрузился, а каспер в типа усиленом режиме стал работать.

ЛОГИ:

Anti-Malware:

mbam_log_2011_07_03__13_15_27_.txt

 

AVZ:

virusinfo_syscure.zip

virusinfo_syscheck.zip

 

Trend Micro HijackThis

hijackthis.log

Изменено 2 июля, 2011 пользователем Tionard

[snifer67 120]

Удалите в mbam

Зараженные ключи в реестре:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\wxpdrivers (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\wxpdrivers (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CURRENTCONTROLSET\SERVICES\WXPDRIVERS (Trojan.Agent) -> No action taken.

Зараженные параметры в реестре:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wxpDrivers\ImagePath (Trojan.Agent) -> Value: ImagePath -> No action taken.


Зараженные файлы:
c:\WINDOWS\Temp\7570409.exe (Trojan.Agent) -> No action taken.
c:\WINDOWS\Temp\1766316.exe (Trojan.Agent) -> No action taken.
c:\WINDOWS\Temp\2576906.exe (Backdoor.Delf) -> No action taken.
c:\WINDOWS\Temp\6413816.exe (Trojan.Agent) -> No action taken.
c:\WINDOWS\Temp\7419978.exe (Trojan.VkHost) -> No action taken.
c:\WINDOWS\Temp\9603263.exe (Trojan.Agent) -> No action taken.
c:\WINDOWS\update.1\svchost.exe (Trojan.Agent) -> No action taken.

Сделайте новый лог mbam

 

Выполните скрипт в avz

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\services32.exe','');
DeleteFile('C:\WINDOWS\services32.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','wxpdrv');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

ПК перезагрузится.

 

Выполнить скрипт в AVZ.

begin
CreateQurantineArchive(RegKeyStrParamRead('HKCU','Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders','Desktop')+'\avz_quarantine.zip');
end.

Карантин сохранится на рабочем столе.

Карантин отправьте на newvirus@kaspersky.com

Сделайте новые логи

[Tionard 0]

Можно вопрос? Как удалить через Mbab? Те файлы которые в карантине?

 

virusinfo_syscure.zip

 

virusinfo_syscheck.zip

 

hijackthis.log

 

 

Забыл скинуть лог Мбаб. сейчас зделаю скан

Изменено 2 июля, 2011 пользователем Tionard

[thyrex 1 468]

Читайте по ссылке Удалите в МВАМ

[Tionard 0]

mbam_log_2011_07_03__19_49_25_.txt

 

Там 2 заражонных ключа только нашло на этот раз. Но для полного их удаления попросило перезагрузку.

[Roman_Five 598]

Там 2 заражонных ключа только нашло на этот раз.

Вы их удалили?

сделайте контрольный лог MBAM

выполните:

AVZ - файл - мастер поиска и устранения проблем - системные проблемы - поиск - исправить

 

сделайте лог GSI

http://forum.kasperskyclub.ru/index.php?sh...ost&p=55906

[Tionard 0]

О_О удалило! Огромное спасибо)

Комп не перезагружаеться, зараженный касперский тоже пропал) сейчас попробую его удалить, а то не хотел)

Итак логи финальные:

 

http://www.getsysteminfo.com/read.php?file...cde14db90f2469e

 

GetSystemInfo_MICROSOF_AF1879_Admin_2011_07_03_21_38_39.zip

[Roman_Five 598]

Драйверы, требующие обновления

Marvell Yukon 88E8001/8003/8010 PCI Gigabit Ethernet Controller: Новые доступные обновления

Загрузить новый драйвер

 

Деинсталлируйте MBAM

 

Очистите временные файлы

Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner:

• скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.

• если вы используете Firefox, нажмите Firefox - Select All - Empty Selected

• нажмите No, если вы хотите оставить ваши сохраненные пароли

• если вы используете Opera, нажмите Opera - Select All - Empty Selected

нажмите No, если вы хотите оставить ваши сохраненные пароли.

 

Удалите все возможные продукты ЛК с помощью утилиты в безопасном режиме:

http://support.kaspersky.ru/faq/?qid=208635705

 

Установите заново KIS 2011

Изменено 2 июля, 2011 пользователем Roman_Five

[Tionard 0]

Извиняюсь, но там ссылка не на ATF Cleaner, а на RSIT какой-то)

[Roman_Five 598]

а на RSIT какой-то)

сори...

 

http://www.atribune.org/index.php?option=c...5&Itemid=25

красная ссылка

Изменено 2 июля, 2011 пользователем Roman_Five

[Tionard 0]

Все сделал кроме одного. Каспер не удаляеться ни в обычном ни в безопасном. Разница только что в обычном он под конец удаления совершает откат. А в безопасном удаление невозможно имено из за того что безопасный режим.. Вот как-то так тупо. Может попробовать CCleaner-ом?

[Roman_Five 598]

Каспер не удаляеться ни в обычном ни в безопасном.

удаляли штатно?

нужно с помощью утилиты

http://support.kaspersky.ru/faq/?qid=208635705

[Tionard 0]

Спасибо) уже все! Огромное спасибо=)