все началось со SMAXXI

[Tiare]

ImPlayOk.exe

файла нет на диске, после него только запись осталась... моя ошибка, проглядела (

Подчистим хвосты.

 

Закройте все программы, включая антивирусное программное обеспечение и firewall

 

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить"

 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
RegKeyDel('HKEY_LOCAL_MACHINE','Software\microsoft\shared tools\msconfig\startupreg\imPlayok');
DeleteDirectory('C:\Documents and Settings\Admin\Application Data\zarchive');
RebootWindows(true);
end.

 

 

Повторите лог RSIT, проверим, удалилось ли на этот раз...

Изменено 27 января, 2012 пользователем Tiare

[Gorbaoksi]

log.txt

[Tiare]

Пофиксите в HijackThis следующие строчки.

O4 - HKCU\..\Run: [imPlayok] C:\Documents and Settings\Admin\imPlayok.exe

 

Удалите в безопасном режиме

C:\Documents and Settings\Admin\Application Data\zarchive

Если папка Application Data не видна, включите отображение скрытых файлов. Для этого в любой папке зайдите в меню Сервис - Свойства папки - Вид - Скрытые файлы и папки и поставьте галочку на строке "Показывать скрытые файлы и папки", а также снимите галочку в пункте "Скрывать защищенные системные файлы (рекомендуется)".

 

 

 

Включите восстановление системы

 

Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

 

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.

2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.

Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

 

Подробнее в "ComboFix. Руководство по применению."

[Gorbaoksi]

log.txt

[Tiare]

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.

KillAll::

Driver::
kaqujjub
fhfoeb
dmsjt

NetSvc::
fhfoeb
dmsjt

Registry::
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3288:TCP"=-

Reboot::

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.

 

 

Запакуйте папку (если будет) C:\Qoobox\Quarantine с паролем virus. Отправьте архив через данную форму В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек).

В строке "Электронный адрес:" укажите адрес своей электронной почты.

Полученный ответ сообщите в этой теме.

 

 

файл c:\windows\system32\grpconv.exe восстановите

 

 

Проблемы есть?

Изменено 29 января, 2012 пользователем Tiare

[Gorbaoksi]

ответ на первый запрос

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит антивирус с последними обновлениями. Письмо будет передано на рассмотрение вирусному аналитику.

 

avsda.dll

 

Файл в процессе обработки.

ответ на второй запрос

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит антивирус с последними обновлениями. Письмо будет передано на рассмотрение вирусному аналитику.

 

autorun.in.vir,

catchme.log,

EventSystem.log.vir,

HKCU-Run-winckm.exe.reg.dat,

Legacy_DMSJT.reg.dat,

Legacy_FHFOEB.reg.dat,

Legacy_NPF.reg.dat,

msmqinst.log.vir,

msvcrt2.dll.vir,

proxy_port.vir,

R02_repair_IEPrefix_hklm_20100504-162036.reg.vir,

R05_Desktop_20100504-162036.reg.vir,

R05_DesktopIE_20100504-162036.reg.vir,

R06_Policies_20100504-162036.reg.vir,

R06_Policies_20100504-162036_01.reg.vir,

R06_Policies_20100504-162036_02.reg.vir,

R06_Policies_20100504-162036_03.reg.vir,

R08_ExplorerSetup_20100504-162036.reg.vir,

R09_Debugger_20100504-162036.reg.vir,

R10_cure_safemode_20100504-162039.reg.vir,

str.sys.vir,

tcpip.reg,

tsw.zbk.vir,

TZLog.log.vir

 

Файлы в процессе обработки.

 

catchme.txt,

vga145.tmp.vir,

vga145.tmp.vir,

vga146.tmp.vir,

vga146.tmp.vir

 

Файлы нулевой длины.

 

del.bat.vir,

Legacy_ICF.reg.dat,

odbcad32.exe.vir,

Packet.dll.vir,

R02_repair_IEPrefix_hkcu_20100504-162036.reg.vir,

sqlite3.dll.vir,

ssField Lines.scr.vir,

ssRibbons.scr.vir,

WebBrowser-{D4027C7F-154A-4066-A1AD-4243D8127440}.reg.dat,

Пузыри.scr.vir

 

Вредоносный код в файлах не обнаружен.

[Tiare]

отчет после выполнения скрипта ComboFix.txt покажите

 

Проблемы есть?

[Gorbaoksi]

отчет после выполнения скрипта ComboFix.txt покажите

 

Проблемы есть?

ComboFix.txt

проблема в удалении двух файлов. Размер 0 байт. Пробовала отложеным удалением AVZ - результата ноль. Ну и все так же проблемы в загрузке/перезагрузке ОС если ставить в msconfig галочку SAFEBOOT. Процедура затягивается минут на 10-15. Без нее не так,но тоже долго - минуты три.

[Tiare]

Все чисто

 

Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду Combofix /Uninstall, нажмите кнопку "ОК"

 

Скачайте OTCleanIt или с зеркала, запустите, нажмите Clean up

 

 

Рекомендации после лечения

 

 

 

проблема в удалении двух файлов. Размер 0 байт.

какие файлы удалить пытаетесь?

 

Пробовала отложеным удалением AVZ - результата ноль.

Не советую. Утилита достаточно серьезная, не имея необходимых знаний, запросто можете "убить" систему.

 

 

Ну и все так же проблемы в загрузке/перезагрузке ОС если ставить в msconfig галочку SAFEBOOT. Процедура затягивается минут на 10-15. Без нее не так,но тоже долго - минуты три.

проконсультируйтесь в разделе "Компьютерная помощь"

[Gorbaoksi]

какие файлы удалить пытаетесь?

каким образом их описать? скрин? выложить сюда? что?

з.ы. огромное спасибо за помощь. Вы все тут молодцы.

[Tiare]

каким образом их описать? скрин? выложить сюда? что?

 

скрин или полное имя файла

[Gorbaoksi]

скрин или полное имя файла

Суворов2 MPEG1 Web PAL.mpg

archive.zip

[Roman_Five]

Gorbaoksi,

проверьте системный раздел скандиском

WIN+R - cmd - chkdsk C: /v /f /r /x

нажмите Y

перезагрузитесь.

после загрузки - пробуйте удалить файлы.

 

файл c:\windows\system32\grpconv.exe восстановите

не выполнили.

Изменено 3 февраля, 2012 пользователем Roman_Five

[Gorbaoksi]

проверьте системный раздел скандиском

done

после загрузки - пробуйте удалить файлы.

удалить не получается...

[Tiare]

удалить не получается...

Проконсультируйтесь в разделе "Компьютерная помощь".

Изменено 10 февраля, 2012 пользователем Tiare