Прошу помощи, логи выполнила по правилам

[Tiare]

Windows XP (SP3), антивирус Аваст. Не могу избавиться от руткитов. Прошу помощи.

virusinfo_syscheck.zip

virusinfo_syscure.zip

info.txt

log.txt

virusinfo_syscheck.zip

virusinfo_syscure.zip

info.txt

log.txt

[akoK]

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

beginSearchRootkit(true, true);SetAVZGuardStatus(true);QuarantineFile('C:\PROGRA~1\Adobe\Reader 8.0\Reader\..\tpgv.tmp','');BC_ImportQuarantineList;BC_Activate;RebootWindows(true);end.

После выполнения скрипта компьютер перезагрузится.

beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end.

Полученный архив отправьте на akok<at>pisem.net с указанной ссылкой на тему. (at=@)

Пофиксить в HijackThis следующие строчки

	R3 - URLSearchHook: (no name) - - (no file)O4 - HKUS\S-1-5-19\..\RunOnce: [iE7_011] regsvr32 /s /n /i:u shell32 (User '?')O4 - HKUS\S-1-5-20\..\RunOnce: [iE7_011] regsvr32 /s /n /i:u shell32 (User '?')O4 - HKUS\S-1-5-18\..\RunOnce: [iE7_011] regsvr32 /s /n /i:u shell32 (User '?')O4 - HKUS\.DEFAULT\..\RunOnce: [iE7_011] regsvr32 /s /n /i:u shell32 (User 'Default user') 

Скачайте Gmer или с зеркала. Запустите программу. После автоматической экспресс-проверки, отметьте галочкой все жесткие диски и нажмите на кнопку Scan. После окончания проверки сохраните лог.

[Tiare]

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

beginSearchRootkit(true, true);SetAVZGuardStatus(true);QuarantineFile('C:\PROGRA~1\Adobe\Reader 8.0\Reader\..\tpgv.tmp','');BC_ImportQuarantineList;BC_Activate;RebootWindows(true);end.

После выполнения скрипта компьютер перезагрузится.

beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end.

Полученный архив отправьте на akok<at>pisem.net с указанной ссылкой на тему. (at=@)

Пофиксить в HijackThis следующие строчки

	R3 - URLSearchHook: (no name) - - (no file)O4 - HKUS\S-1-5-19\..\RunOnce: [iE7_011] regsvr32 /s /n /i:u shell32 (User '?')O4 - HKUS\S-1-5-20\..\RunOnce: [iE7_011] regsvr32 /s /n /i:u shell32 (User '?')O4 - HKUS\S-1-5-18\..\RunOnce: [iE7_011] regsvr32 /s /n /i:u shell32 (User '?')O4 - HKUS\.DEFAULT\..\RunOnce: [iE7_011] regsvr32 /s /n /i:u shell32 (User 'Default user') 

Скачайте Gmer или с зеркала. Запустите программу. После автоматической экспресс-проверки, отметьте галочкой все жесткие диски и нажмите на кнопку Scan. После окончания проверки сохраните лог.

Здравствуйте, сделала все как вы написали. Отчеты отправила на почту.

[Matias]

На почту надо отправлять только карантин. Любые логи (включая лог GMER) следует прикреплять к сообщению.

Изменено 15 декабря, 2009 пользователем Matias

[akoK]

Вот лог.

gmer____.log

gmer____.log

Изменено 15 декабря, 2009 пользователем akoK

[Tiare]

На почту надо отправлять только карантин. Любые логи (включая лог GMER) следует прикреплять к сообщению.

Буду знать :blush2:

Вот лог.

Спасибо :)

[Tiare]

Не совсем поняла, с моей стороны нужны еще какие-то действия или вся гадость удалена? Спасибо за ответ

[thyrex]

Лог gmer чист.

Сделайте еще раз логи AVZ и RSIT (только не под огрниченным в правах пользователем)

[Tiare]

Лог gmer чист.

Сделайте еще раз логи AVZ и RSIT (только не под огрниченным в правах пользователем)

Логи выполнила, посмотрите, пожалуйста

virusinfo_syscheck.zip

virusinfo_syscure.zip

log.txt

virusinfo_syscheck.zip

virusinfo_syscure.zip

log.txt

[thyrex]

Логи снова сделаны под ограниченыым в правах пользователем

[Tiare]

Логи снова сделаны под ограниченыым в правах пользователем

Проверьте, пожалуйста, еще раз

log.txt

virusinfo_syscheck.zip

virusinfo_syscure.zip

log.txt

virusinfo_syscheck.zip

virusinfo_syscure.zip

[миднайт]

Закройте/выгрузите все программы кроме AVZ и Internet Explorer.

- Отключите ПК от интернета/локалки

- Отключите Антивирус и Файрвол.

В HiJackThis пофиксите:

R3 - URLSearchHook: (no name) - - (no file)O3 - Toolbar: QT Breadcrumbs Address Bar - {af83e43c-dd2b-4787-826b-31b17dee52ed} - mscoree.dll (file missing)

В AVZ выполните скрипт:

beginSearchRootkit(true, true);SetAVZGuardStatus(True);DelBHO('{710EB7A1-45ED-11D0-924A-0020AFC7AC4D}');QuarantineFile('C:\PROGRA~1\Adobe\Reader 8.0\Reader\..\tpgv.tmp 0yAAAAAAAA','');DeleteFile('C:\PROGRA~1\Adobe\Reader 8.0\Reader\..\tpgv.tmp 0yAAAAAAAA');RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Drivers32','midi9');BC_ImportDeletedList;ExecuteSysClean;BC_Activate;RebootWindows(true);end.

После перезагрузки

begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.

Полученный архив отправьте на mind_storm<at>mail.ru (at=@) с указанием ссылки на тему.

[Tiare]

В HiJackThis пофиксите:

R3 - URLSearchHook: (no name) - - (no file)O3 - Toolbar: QT Breadcrumbs Address Bar - {af83e43c-dd2b-4787-826b-31b17dee52ed} - mscoree.dll (file missing)

Здравствуйте, указанных выше данных не оказалось. Остальное выполнила. Спасибо за помощь :doh:

[миднайт]

В карантине пусто. логи повторите.

[Tiare]

В карантине пусто. логи повторите.

Сделала, проверьте, пожалуйста

virusinfo_syscheck.zip

virusinfo_syscure.zip

virusinfo_syscheck.zip

virusinfo_syscure.zip

[миднайт]

Проверьтесь этим http://support.kaspersky.ru/viruses/solutions?qid=208636943

О результатах проверки сообщите.

[миднайт]

+ прошу пардон +) повторите такой скрипт:

beginSearchRootkit(true, true);SetAVZGuardStatus(True);QuarantineFile('C:\PROGRA~1\Adobe\Reader 8.0\Reader\..\tpgv.tmp','');DeleteFile('C:\PROGRA~1\Adobe\Reader 8.0\Reader\..\tpgv.tmp');RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Drivers32','midi9');BC_ImportDeletedList;ExecuteSysClean;BC_Activate;RebootWindows(true);end.

После перезагрузки

begin CreateQurantineArchive(GetAVZDirectory+'quarantine1.zip'); end.

Полученный архив отправьте на mind_storm<at>mail.ru (at=@) с указанием ссылки на тему

[Tiare]

Kateskiller ничего не нашел.

Логи AVZ повторила, карантин отправила на почту.

Спасибо за помошь :)

[миднайт]

Карантин пустой. А где же логи? :)

[Tiare]

Закрутилась... Вот логи

virusinfo_syscheck.zip

virusinfo_syscure.zip

virusinfo_syscheck.zip

virusinfo_syscure.zip

[thyrex]

Выполните исследование утилитой KatesKiller и последний скрипт под учетной записью с правами администратора (Вы их пытаетесь делать под оганиченной в правах записью)

[thyrex]

Попробуйте деинсталлировать Comodo и выполнить рекомендации

[Tiare]

Выполните исследование утилитой KatesKiller и последний скрипт под учетной записью с правами администратора (Вы их пытаетесь делать под оганиченной в правах записью)

Попробуйте деинсталлировать Comodo и выполнить рекомендации

Снесла Аваст и Комодо, выполнила логи AVZ в безопасном режиме.

KatesKiller ничего не обнаружил.

Проверила также Kaspersky® Virus Removal Tool (в обычном и безопасном режиме), фото отчета прикрепляю

http://s003.radikal.ru/i204/1001/7b/a72bbf99523e.jpg

http://s001.radikal.ru/i196/1001/46/2874a8e8f4f0.jpg

Сейчас установлен KIS10

Прошу проверить :g:

virusinfo_syscheck.zip

virusinfo_syscure.zip

virusinfo_syscheck.zip

virusinfo_syscure.zip

[akoK]

Вижу перечень уязвимых приложений в логе AVPTool.

Больше ничего не вижу.

Очистите старые точки восстановления.

[Tiare]

Вижу перечень уязвимых приложений в логе AVPTool.

Больше ничего не вижу.

Очистите старые точки восстановления.

Про уязвимости все понятно :blush2:

Значит никакой гадости не осталось? (подозревала, что где-то руткит прячется)