Koljan Posted September 4, 2009 Report Share Posted September 4, 2009 1)a=avz.exe 2) Safe mode не заходил, выдал синий экран. 3) С компом была проблема, постоянно перезагружался. В сзязи с этим хотел проделать все процедуры info.txt log.txt virusinfo_syscheck.zip virusinfo_syscure.zip info.txt log.txt virusinfo_syscheck.zip virusinfo_syscure.zip Link to comment Share on other sites More sharing options...
Koljan Posted September 4, 2009 Author Report Share Posted September 4, 2009 ПЕРЕЗАЛИЛ. info.txt log.txt info.txt log.txt Link to comment Share on other sites More sharing options...
akoK Posted September 4, 2009 Report Share Posted September 4, 2009 AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". beginClearQuarantine;SearchRootkit(true, true);SetAVZGuardStatus(true);SetServiceStart('9929b83a.sys', 4);SetServiceStart('ofqq', 4);SetServiceStart('memb037', 4);QuarantineFile('C:\Documents and Settings\Koljan\Koljan.exe','');QuarantineFile('C:\Program Files\Common Files\Windows Live\.cache\7b303d041c9a93f\fssclient_x86.msi','');QuarantineFile('C:\WINDOWS\Installer\aa3123.msi','');QuarantineFile('C:\WINDOWS\system\GDICOD97.DRV','');QuarantineFile('C:\WINDOWS\system32\drivers\xngpjft.sys','');QuarantineFile('C:\WINDOWS\SystemRoot\System32\drivers\memb037.sys','');QuarantineFile('C:\WINDOWS\System32\drivers\9929b83a.sys','');QuarantineFile('C:\Program Files\NOS\bin\getPlus_HelperSvc.exe','');QuarantineFile('C:\WINDOWS\system32\DRIVERS\PFC027.SYS','');QuarantineFile('C:\Program Files\Google\Google Toolbar\Component\GoogleToolbarDynamic_F69690696747F43D.dll','');DeleteFile('C:\Documents and Settings\Koljan\Application Data\Microsoft\Internet Explorer\qipsearchbar.dll');DeleteFile('C:\WINDOWS\System32\drivers\9929b83a.sys');DeleteFile('C:\WINDOWS\SystemRoot\System32\drivers\memb037.sys');DeleteFile('C:\WINDOWS\system32\drivers\xngpjft.sys');DeleteFile('C:\WINDOWS\Installer\aa3123.msi');DeleteFile('C:\Program Files\Common Files\Windows Live\.cache\7b303d041c9a93f\fssclient_x86.msi');DeleteFile('C:\Documents and Settings\Koljan\Koljan.exe');DelBHO('{83821C2B-32A8-4DD7-B6D4-44309A78E668}');DeleteService('9929b83a.sys');DeleteService('memb037');DeleteService('ofqq');BC_ImportALL;BC_Activate;ExecuteSysClean;ExecuteRepair(9);ExecuteRepair(19);RebootWindows(true);end. После выполнения скрипта компьютер перезагрузится. beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end. Полученный архив отправьте на akok<at>pisem.net с указанной ссылкой на тему. (at=@) Пофиксить в HijackThis следующие строчки O24 - Desktop Component 0: (no name) - http://lines.planetadruzey.ru/108504.png Ваш провайдер? 212.7.0.0 - 212.7.1.255INFONET.EE ISP in Tallinn, Estonia Эстония Konstantin Barinov AS INFONET 8 Suurtuki str Tallinn EE0004 Estonia phone: +372 640-0000 fax: +372 640-0064 sbernard@infonet.ee Konstantin Barinov AS INFONET 8 Suurtuki str Tallinn EE0004 Estonia phone: +372 640-0000 fax: +372 640-0064 sbernard@infonet.ee INFONET-EE Источник: whois.ripe.net Acrobat 7.0 - обновите до Acrobat 9.х Скачайте Malwarebytes' Anti-Malware, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - нажмите "Remove Selected" (удалить выделенные). Откройте лог и скопируйте в сообщение.(Подробнее). !!!Смотрите, что удаляете. Обновите базы AVZ и повторите логи. Link to comment Share on other sites More sharing options...
Koljan Posted September 6, 2009 Author Report Share Posted September 6, 2009 AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". После выполнения скрипта компьютер перезагрузится. ВЫПОЛНИЛ Полученный архив отправьте на akok<at>pisem.net с указанной ссылкой на тему. (at=@) ВЫПОНИЛ Пофиксить в HijackThis следующие строчки O24 - Desktop Component 0: (no name) - http://lines.planetadruzey.ru/108504.png ВЫПОЛНИЛ Ваш провайдер? ДА Acrobat 7.0 - обновите до Acrobat 9.х Сделал Malwarebytes' Anti-Malware Сделал virusinfo_syscheck.zip virusinfo_syscure.zip info.txt log.txt mbam_log_2009_09_06__10_20_24_.txt virusinfo_syscheck.zip virusinfo_syscure.zip info.txt log.txt mbam_log_2009_09_06__10_20_24_.txt Link to comment Share on other sites More sharing options...
akoK Posted September 6, 2009 Report Share Posted September 6, 2009 (edited) AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". beginSearchRootkit(true, true);SetAVZGuardStatus(true);DeleteFile('wnzbvh.sys');DeleteFile('C:\WINDOWS\System32\drivers\memb037.sys');BC_ImportDeletedList;ExecuteSysClean;BC_DeleteSvc('memb037');BC_Activate;RebootWindows(true);end. После выполнения скрипта компьютер перезагрузится. Скачайте и распакуйте в отдельную папку - Registry Search (зеркало) Запустите утилиту. В верхнем окне, предназначенном для поиска введите fystemroot и нажмите кнопку "OK". Во всех найденых соотвествиях необходимо заменить fystemroot на systemroot Возможно, придется вернуть права на изменения вышеперечисленныхветок реестра Очистите временные файлы через Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner - скачайте ATF Cleaner или с зеркала, запустите, поставьте галочку напротив Select All и нажмите Empty Selected. - если вы используете Firefox, нажмите Firefox - Select All - Empty Selected - нажмите No, если вы хотите оставить ваши сохраненные пароли - если вы используете Opera, нажмите Opera - Select All - Empty Selected - нажмите No, если вы хотите оставить ваши сохраненные пароли Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол. 1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix. 2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению. Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe Подробнее в "ComboFix. Руководство по применению." Скачайте Gmer или с зеркала. Запустите программу. После автоматической экспресс-проверки, отметьте галочкой все жесткие диски и нажмите на кнопку Scan. После окончания проверки сохраните его. Edited September 6, 2009 by akoK Link to comment Share on other sites More sharing options...
akoK Posted September 6, 2009 Report Share Posted September 6, 2009 В карантин ничего интересного не попало Link to comment Share on other sites More sharing options...
Recommended Posts
Create an account or sign in to comment
You need to be a member in order to leave a comment
Create an account
Sign up for a new account in our community. It's easy!
Register a new accountSign in
Already have an account? Sign in here.
Sign In Now