Помогите, пожалуйста.

[qwect]

Здравствуйте, помогите, пожалуйста.

Выкладываю стандартные логи.

Лечился "онлине сканером от Касперского". Использую антивирус "авира".

Постоянно что-то находит, появилось подозрение, что он попросту не может справиться.

hijackthis.log

virusinfo_syscheck.zip

virusinfo_syscure.zip

[Tiare]

qwect, здравствуйте.

 

Закройте все программы, включая антивирусное программное обеспечение и firewall

 

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить"

 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\Users\Аlina\AppData\Roaming\Microsoft\Internet Explorer\qstatsrv.dll','');
QuarantineFile('c:\matlab701\webserver\bin\win32\matlabserver.exe','');
QuarantineFile('\\?\C:\ProgramData\Microsoft\Windows\DRM\Cache\Indiv_SID_S-1-5-20\Indiv01.key','');
QuarantineFile('c:\program files\yota\yota access\yotaaccessservice.exe','');
QuarantineFile('c:\matlab701\bin\win32\matlab.exe','');
QuarantineFile('c:\programdata\readers digest\eng20s.exe','');
QuarantineFile('C:\Users\Аlina\Downloads\Фотография\+Кино\UncleRus. Домашнее видео v0.7.chm','');
QuarantineFile('C:\Documents and Settings\Аlina\Downloads\Фотография\+Кино\UncleRus. Домашнее видео v0.7.chm','');
QuarantineFile('C:\windows\System32\drivers\haus.sys','');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(1);
RebootWindows(true);
end.

 

После выполнения скрипта компьютер перезагрузится.

После перезагрузки выполнить второй скрипт.

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 

 

Отправьте на проверку Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы). Для получения ответа в более короткий срок отправьте ваш запрос через Личный кабинет.

В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек).

В строке "Электронный адрес:" укажите адрес своей электронной почты.

Полученный ответ сообщите в этой теме.

 

 

Пофиксите в HijackThis следующие строчки. После выполнения скрипта в AVZ некоторые строки могут отсутствовать

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/poisk
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/poisk
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/poisk
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/poisk
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/poisk
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/poisk
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/poisk
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/poisk
R3 - URLSearchHook: (no name) -  - (no file)

 

Проверьте эти файлы на virustotal

Раскрывающийся текст:

кнопка Обзор - ищите нужный файл у вас в системе - Открыть - Отправить файл (Send file). Нажать на кнопку Reanalyse (если будет). Дождитесь результата .

Ссылку на результат (то, что будет в адресной строке в браузере) копируете и выкладываете в теме.

C:\windows\System32\drivers\haus.sys
C:\Users\Аlina\AppData\Roaming\Microsoft\Internet Explorer\qstatsrv.dll
c:\programdata\readers digest\eng20s.exe
c:\matlab701\bin\win32\matlab.exe
c:\program files\yota\yota access\yotaaccessservice.exe
C:\ProgramData\Microsoft\Windows\DRM\Cache\Indiv_SID_S-1-5-20\Indiv01.key
c:\matlab701\webserver\bin\win32\matlabserver.exe
C:\Users\Аlina\Downloads\Фотография\+Кино\UncleRus. Домашнее видео v0.7.chm
C:\Documents and Settings\Аlina\Downloads\Фотография\+Кино\UncleRus. Домашнее видео v0.7.chm

 

 

Установите Internet Explorer 9 (даже если им не пользуетесь)

 

 

У вас установлена Malwarebytes' Anti-Malware

обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.

 

+

• Если у вас 32 разрядная версия windows, то скачайте Random's System Information Tool (RSIT) или с зеркала
  
• Если у вас 64 разрядная версия windows, то необходимо скачать эту версию Random's System Information Tool(RSIT)x64 или с зеркала
  

Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

 

 

 

Какие у вас проблемы?

[qwect]

Не запускается "Безопасный режим"

Фаил Quarantine.zip слишком большой (приложил Print Screen), попытался разбить на 3 части, отправил, но ответ не пришёл.

Hijackthis после запуска выдаёт окно со списком, не было окна с предложением "Do a system scan only", прикрепил лог.

Проверил указанные файлы на virustotal, все "чистые", прошу прошения, но "txtшник" с ними дома , пришлю вечером, если требуется.

Прикрепил лог mbam и логи RSIT.

 

В "рабочей" папке (там, где храню программы по Вашей рекомендации: Avz, Hijackthis и т.д.) появилась папка backups. Содержимое и просмотр одного из файлов высылаю.

Это от Hijackthis? Видимо я "профиксил" не так, как надо.

hijackthis_after_fixing.txt

mbam_log_2011_09_24__17_05_50_.txt

info.txt

log.txt

[Tiare]

В логах - чисто.

 

Ссылки на результат проверки файлов приложите, пожалуйста, особенно

C:\Users\Аlina\AppData\Roaming\Microsoft\Internet Explorer\qstatsrv.dll

 

 

 

Обязательно деинсталлируйте MBAM!

Пуск--Панель управления--Установка и удаление программ

Находим там Malwarebytes' Anti-Malware и нажимаем удалить.

 

 

- Установите Internet Explorer 9 (даже если им не пользуетесь)

 

- обновите Java до актуальной версии

- обновите Adobe Reader до актуальной версии

 

 

>> Разрешен автозапуск с HDD

>> Разрешен автозапуск с сетевых дисков

>> Разрешен автозапуск со сменных носителей

 

Это серьезная уязвимость для вашей системы, поэтому желательно отключить автозапуск на этих устройствах. Если решите то,

 

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить"

begin
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
RebootWindows(true);
end.

 

 

 

Не запускается "Безопасный режим"

 

Выходит сообщение об ошибке?

[qwect]

Если не ошибаюсь, то фаил qstatsrv.dll пропал после лога в Avz, поточнее вечером напишу.

Java и Adobe Reader уже скачал вечером установлю. У той машины небезлимитный интернет через GPRS модем, поэтому так.

И следовательно IE9 сложно будет установить. Есть ли фаил для автономной установки? Такая же проблема с Adobe Readerом.

MBAM деинсталирую.

Цитата

>> Разрешен автозапуск с HDD

>> Разрешен автозапуск с сетевых дисков

>> Разрешен автозапуск со сменных носителей

Я останавливаю и отключаю службу "Определение оборудования оболочки", просто Avz её "восстанавливает".

Скрипт тоже подойдёт, спасибо.

 

Сообщения об ощибке нет, просто "уходит в перезагрузку" в обычный режим. Или я его не замечаю, быстро проскакивает.

В "журнале" не фиксируется.

 

Что делать с файлом Quarantine.zip?

"Профиксил" верно?

[Tiare]

Ссылку заменила на закачку IE http://windows.microsoft.com/ru-RU/interne...dwide-languages

 

Что делать с файлом Quarantine.zip?

"Профиксил" верно?

 

Можете удалять. Пофиксили верно)

 

 

 

скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.

• если вы используете Firefox, нажмите Firefox - Select All - Empty Selected

• нажмите No, если вы хотите оставить ваши сохраненные пароли

• если вы используете Opera, нажмите Opera - Select All - Empty Selected

нажмите No, если вы хотите оставить ваши сохраненные пароли.

 

создайте новую контрольную точку восстановления и очистите заражённую

 

 

Сообщения об ощибке нет, просто "уходит в перезагрузку" в обычный режим. Или я его не замечаю, быстро проскакивает.

В "журнале" не фиксируется.

 

Почитайте http://support.kaspersky.ru/faq/?qid=180593101

Изменено 26 сентября, 2011 пользователем Tiare