Прошу посмотреть логи.

[АЛЕКС20]

Тема знакома на форуме. Прошу проверить ЛОГи.

hijackthis.log

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.log

virusinfo_syscheck.zip

virusinfo_syscure.zip

[akoK]

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

beginSearchRootkit(true, true);SetAVZGuardStatus(true);QuarantineFile('C:\WINDOWS\system32\amvo1.dll','');QuarantineFile('C:\WINDOWS\system32\amvo0.dll','');QuarantineFile('C:\WINDOWS\system32\shdocvw.dll','');QuarantineFile('C:\WINDOWS\Downloaded Program Files\SearchEngineQuery.dll','');QuarantineFile('C:\WINDOWS\system32\webcheck.dll','');QuarantineFile('C:\WINDOWS\system32\amvo.exe','');QuarantineFile('C:\WINDOWS\system32\drivers\FlyPCI.sys','');DeleteFile('C:\PROGRA~1\MYWEBS~1\bar\1.bin\M3PLUGIN.DLL');DeleteFile('C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe');DeleteFile('C:\WINDOWS\system32\amvo.exe');DeleteFile('C:\Program Files\MyWebSearch\bar\1.bin\F3POPSWT.DLL');DeleteFile('C:\Program Files\MyWebSearch\bar\1.bin\M3OUTLCN.DLL');DeleteFile('C:\WINDOWS\system32\amvo0.dll');DeleteFile('C:\WINDOWS\system32\amvo1.dll');BC_ImportALL;ExecuteRepair(6);ExecuteRepair(8);BC_Activate;ExecuteSysClean;RebootWindows(true);end.

После выполнения скрипта компьютер перезагрузится.

beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end.

Полученный архив отправьте на akok<at>pisem.net с указанной ссылкой на тему. (at=@)

Пофиксить в HijackThis следующие строчки

 	R3 - URLSearchHook: (no name) - {00A6FAF6-072E-44cf-8957-5838F569A31D} - C:\Program Files\MyWebSearch\SrchAstt\1.bin\MWSSRCAS.DLL (file missing)F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exeO4 - HKLM\..\Run: [MyWebSearch Plugin] rundll32 C:\PROGRA~1\MYWEBS~1\bar\1.bin\M3PLUGIN.DLL,UPFO4 - HKCU\..\Run: [amva] C:\WINDOWS\system32\amvo.exeO8 - Extra context menu item: &Search - http://edits.mywebsearch.com/toolbaredits/menusearch.jhtml?p=ZRxdm674YYUAO9 - Extra button: (no name) - DctMapping - (no file)O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.exe.imgfarm.com/images/nocache/funwebproducts/ei-3/PopularScreenSavers FWBInitialSetup1.0.1.0.exe

Повторите логи.

[АЛЕКС20]

ОГРОМНОЕ спасибо за помощь!!! Всё отлично вылечилось. К сожалению в виду моей собственной невнимательности не сохранился LOG. :blush2: . В общем хочу выразить благодарность всем жителям СофтФорума, узнал очень много полезных вещей, и всё таки, если кто то знает как уберечся от заразы с флешки (уверен именно таким способом я её получил) прошу подсказать или дать ссылку. Буду очень признателен. Потому как есть ещё комп дочки, брата и т.д которые наверняка придётся то же чистить. А по сему до скорых встреч с уважением к жителям Алекс.

Прилагаю последние LOGи

hijackthis.log

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.log

virusinfo_syscheck.zip

virusinfo_syscure.zip

[akoK]

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

beginSearchRootkit(true, true);SetAVZGuardStatus(true);DeleteFile('C:\WINDOWS\system32\shdocvw.dll');BC_ImportDeletedList;BC_Activate;RebootWindows(true);end.

После выполнения скрипта компьютер перезагрузится.

Тут много полезной информации

Автозапуск на устройствах

Изменено 25 июля, 2008 пользователем akoK

[АЛЕКС20]

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

beginSearchRootkit(true, true);SetAVZGuardStatus(true);DeleteFile('C:\WINDOWS\system32\shdocvw.dll');BC_ImportDeletedList;BC_Activate;RebootWindows(true);end.

После выполнения скрипта компьютер перезагрузится.

Тут много полезной информации

Автозапуск на устройствах

Благодарю за оперативность. Но в резултате выполнения скрипта explorer забастовал, пришлось восстановить 'C:\WINDOWS\system32\shdocvw.dll'

[akoK]

хмм.... пришлите мне его на анализ....был уверен, что зловред akok<at>pisem.net с указанной ссылкой на тему. (at=@)? установите пароль на архив virus

[АЛЕКС20]

Хочу представить вашему вниманию LOGи с компа дочери. По возможности прошу проанализировать.

hijackthis.log

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.log

virusinfo_syscheck.zip

virusinfo_syscure.zip

[ser208]

Хочу представить вашему вниманию LOGи с компа дочери.

На этом компьютере картина получше.

[АЛЕКС20]

Может быть и лучше, учитывая что учитывая приобретённый опыт я немного его подчистил, но прблема то осталась!!!

[akoK]

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

beginSearchRootkit(true, true);SetAVZGuardStatus(true);QuarantineFile('C:\WINDOWS\system32\TaskSwitch.exe','');QuarantineFile('c:\windows\system32\wuauserv.dll','');BC_ImportQuarantineList;BC_Activate;RebootWindows(true);end.

После выполнения скрипта компьютер перезагрузится.

beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end.

Полученный архив отправьте на akok<at>pisem.net с указанной ссылкой на тему. (at=@)

А в чем выражаются проблемы?

C:\WINDOWS\system32\shdocvw.dll - чист

[ser208]

Может быть и лучше, учитывая что учитывая приобретённый опыт я немного его подчистил...

Остается надежда, что не скриптами для предыдущего компьютера.

Если не показываются скрытые файлы, то может помочь такой *.reg файл.

Windows Registry Editor Version 5.00[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden]"Text"="@shell32.dll,-30499""Type"="group""Bitmap"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,\ 00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,53,00,\ 48,00,45,00,4c,00,4c,00,33,00,32,00,2e,00,64,00,6c,00,6c,00,2c,00,34,00,00,\ 00"HelpID"="shell.hlp#51131"[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN]"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced""Text"="@shell32.dll,-30501""Type"="radio""CheckedValue"=dword:00000002"ValueName"="Hidden""DefaultValue"=dword:00000002"HKeyRoot"=dword:80000001"HelpID"="shell.hlp#51104"[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced""Text"="@shell32.dll,-30500""Type"="radio""CheckedValue"=dword:00000001"ValueName"="Hidden""DefaultValue"=dword:00000002"HKeyRoot"=dword:80000001"HelpID"="shell.hlp#51105"

Ссылка на готовый файл.

Изменено 27 июля, 2008 пользователем ser208

[АЛЕКС20]

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

beginSearchRootkit(true, true);SetAVZGuardStatus(true);QuarantineFile('C:\WINDOWS\system32\TaskSwitch.exe','');QuarantineFile('c:\windows\system32\wuauserv.dll','');BC_ImportQuarantineList;BC_Activate;RebootWindows(true);end.

После выполнения скрипта компьютер перезагрузится.

beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end.

Полученный архив отправьте на akok<at>pisem.net с указанной ссылкой на тему. (at=@)

А в чем выражаются проблемы?

C:\WINDOWS\system32\shdocvw.dll - чист

Проблема та же, не видать скрытых файлов. После выполнения скрипта ничего не изменилось. Может быть в реестре запрет? Знать бы где!!!

LOG прилагается, карантин отсылается

Отдельная благодарность за приятные новости (shdocvw.dll - чист)

hijackthis.log

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.log

virusinfo_syscheck.zip

virusinfo_syscure.zip

[ser208]

После выполнения скрипта ничего не изменилось.

Скрипт и не менял ничего. Он только помещал в карантин подозрительные файлы.

Может быть в реестре запрет? Знать бы где!!!

Изменения в реестре для показа скрытых файлов постом выше.

Изменено 27 июля, 2008 пользователем ser208

[АЛЕКС20]

Остается надежда, что не скриптами для предыдущего компьютера.

Если не показываются скрытые файлы, то может помочь такой *.reg файл.

Windows Registry Editor Version 5.00[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden]"Text"="@shell32.dll,-30499""Type"="group""Bitmap"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,\ 00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,53,00,\ 48,00,45,00,4c,00,4c,00,33,00,32,00,2e,00,64,00,6c,00,6c,00,2c,00,34,00,00,\ 00"HelpID"="shell.hlp#51131"[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN]"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced""Text"="@shell32.dll,-30501""Type"="radio""CheckedValue"=dword:00000002"ValueName"="Hidden""DefaultValue"=dword:00000002"HKeyRoot"=dword:80000001"HelpID"="shell.hlp#51104"[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced""Text"="@shell32.dll,-30500""Type"="radio""CheckedValue"=dword:00000001"ValueName"="Hidden""DefaultValue"=dword:00000002"HKeyRoot"=dword:80000001"HelpID"="shell.hlp#51105"

Ссылка на готовый файл.

Это шутка? Конечно нет! Хотя изучение самих скриптов сделанных умными людьми даёт почву к размышлению и обучению Благодарю за исходник, проверю завтра. О результатах доложу.

[ser208]

Это шутка?

Воспользуйся ссылкой на готовый файл. Запустишь, согласишься с изменениями в реестре. Должно заработать.

Изменено 28 июля, 2008 пользователем ser208

[akoK]

Проверил карантин....чисто.

[АЛЕКС20]

Воспользуйся ссылкой на готовый файл. Запустишь, согласишься с изменениями в реестре. Должно заработать.

Я и не сомневался в вашем професионализме, всё действительно заработало! Как говорится "дело было не в бобине..." :D

Проверил карантин....чисто.

Большое спасибо!!! Проблема уже решена.