посмотрите

[flexo]

у меня не работают диспетчер задач и реестр.Такие программы как xp tweaker не помогают. НО есть ещё кое что. После проверки программой cureit появился непонятный глюк. Я нажимаю на иконку подключения на панели пуск, и весь стиль секунды на 2 меняется на классический потом возвращается но подключение перестаёт работать (останавливается)

Вот логи

info.txt

log.txt

virusinfo_syscheck.zip

virusinfo_syscure.zip

info.txt

log.txt

virusinfo_syscheck.zip

virusinfo_syscure.zip

[Alex56]

1. AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт -- Нажать кнопку "Запустить"

beginSearchRootkit(true, true);SetAVZGuardStatus(True);StopService('abp470n5');QuarantineFile('C:\WINDOWS\system32\drivers\mslmmn.sys','');DeleteFile('C:\WINDOWS\system32\drivers\mslmmn.sys');DeleteService('abp470n5');DeleteFileMask('C:\Documents and Settings\Admin\Local Settings\Temp', '*.*', true);BC_ImportALL;BC_DeleteFile('C:\WINDOWS\system32\drivers\mslmmn.sys');ExecuteSysClean;ExecuteRepair(6);ExecuteWizard('TSW', 1, 1, true);ExecuteWizard('BT', 1, 1, true);BC_Activate;RebootWindows(true);end.

После выполнения скрипта компьютер перезагрузится.

Выполните еще этот скрипт

beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end.

quarantine.zip отправьте на newvirus@kaspersky.com

2. Пофиксить в HijackThis следующие строчки

R3 - URLSearchHook: (no name) - - (no file)O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1O9 - Extra button: (no name) - DctMapping - (no file)

3. У вас Kido запустите утилиту

Повторите логи

[flexo]

я не могу запустить avz она не включается

я её снова распаковал но она вырубается через 5 секунд

и кстати как это "профиксить"

[Alex56]

я не могу запустить avz она не включается

переименуйте avz.exe в game.exe и попробуйте

и кстати как это "профиксить"

1. Переименуйте HijackThis.exe в This.exe

2. Нажмите Do a system scan only

3. В открывшемся логе сканирования поставить галочки напротив указанных строк и нажать кнопку "Fix сhecked".

[flexo]

переименуйте avz.exe в game.exe и попробуйте

1. Переименуйте HijackThis.exe в This.exe

2. Нажмите Do a system scan only

3. В открывшемся логе сканирования поставить галочки напротив указанных строк и нажать кнопку "Fix сhecked".

не помогает :D :)

[Alex56]

кидокиллер тоже не работает?

[flexo]

нет тут просто не то нажал

HijackThis работает и так а вот avz...

[Alex56]

Что с AVZ так и не запускается (переименованный)?

[flexo]

да . я его во всё уже переименовывал

[Alex56]

Очень странно, ладно дальше видно будет.

Кидокиллер запускали???

[flexo]

да но пока не профиксивал.

щас попробую

попробовал

вылезло сообщение

Редактировать реестр запрещено Администратором системы

[thyrex]

Скачайте полиморфный AVZ (ссылка в моей подписи) и запустите его с ключом AM=Y

Попробуйте выполнить скрипт в нем

Изменено 17 мая, 2009 пользователем thyrex

[flexo]

он запустился без ключа

скрипт выполнил

у меня в папке мой компьютер появились разделы:

web folders и папки с документами

[Alex56]

web folders уберем позже.

Сделайте новые логи

[flexo]

какие?

[Alex56]

все

[thyrex]

Пока делайте повторные логи. Используйте полиморфный AVZ/

Логи RSIT тоже новые сделать

С папками будем разбираться потом

[flexo]

№2 профиксить в HijackThis следующие строчки изменилась подпись

r3

[Alex56]

не удаляйте тогда строчку R3, действуйте дальше согласно моей рекомендации

[flexo]

вот логи

а логи от rsit новые заменяют старые в корневом каталоге?

я их на всякий случай удалил и сделал потом ещё раз

virusinfo_syscure.zip

virusinfo_syscheck.zip

info.txt

log.txt

virusinfo_syscure.zip

virusinfo_syscheck.zip

info.txt

log.txt

[thyrex]

Выполните скрипт в AVZ

 beginSearchRootkit(true, true);SetAVZGuardStatus(True);SetServiceStart('abp470n5', 4);DeleteService('abp470n5');QuarantineFile('C:\WINDOWS\system32\drivers\mslmmn.sys','');QuarantineFile('c:\docume~1\admin\locals~1\temp\vwgb.exe','');TerminateProcessByName('c:\docume~1\admin\locals~1\temp\vwgb.exe');DeleteFile('c:\docume~1\admin\locals~1\temp\vwgb.exe');DeleteFile('C:\WINDOWS\system32\drivers\mslmmn.sys');DeleteFileMask('%Tmp%', '*.*', true);DeleteFileMask('C:\DOCUME~1\Admin\LOCALS~1\Temp\', '*.*', true);ExecuteRepair(11);ExecuteRepair(17);BC_ImportAll;ExecuteSysClean;BC_Activate;RebootWindows(true);end. 

Компьютер перезагрузится.

Выполнить скрипт в AVZ.

beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end.

quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com. В письме укажите пароль на архив virus. Полученный ответ сообщите здесь.

У вас, скорее всего, еще и файловый вирус, проведите полную проверку системы как описано здесь

Изменено 17 мая, 2009 пользователем thyrex

[Alex56]

1. Скачайте Icesword или с зеркала

Запустите программу.

Внизу слева выберите меню File.

Появится аналог проводника. Найдите в нем файл руткита:

C:\WINDOWS\system32\drivers\mslmmn.sys

Нажмите по нему правой кнопкой мыши и выберите force delete.

На запрос потверждения ответьте "да".

Перезагрузите компьютер.

2. AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт -- Нажать кнопку "Запустить"

beginSearchRootkit(true, true);SetAVZGuardStatus(True);SetServiceStart('abp470n5', 4);QuarantineFile('C:\WINDOWS\system32\drivers\mslmmn.sys','');DeleteFile('C:\WINDOWS\system32\drivers\mslmmn.sys');DeleteService('abp470n5');DeleteFileMask('C:\Documents and Settings\Admin\Local Settings\Temp', '*.*', true);BC_ImportALL;ExecuteSysClean;ExecuteRepair(11);ExecuteRepair(17);BC_Activate;RebootWindows(true);end.

После выполнения скрипта компьютер перезагрузится.

Сделайте новые логи

[flexo]

C:\WINDOWS\system32\drivers\mslmmn.sys

нет такого файла

[thyrex]

Выполняли рекомендации из сообщения №21?

[flexo]

да