egils Опубликовано 23 декабря, 2009 Жалоба Поделиться Опубликовано 23 декабря, 2009 Что-то интересное поимал, info.txt log.txt virusinfo_syscure.zip virusinfo_syscheck.zip Avira не запускается, Hijackthis тоже. Regedit, администрирование и прочее не работает, хотя машина запускается администратором. info.txt log.txt virusinfo_syscure.zip virusinfo_syscheck.zip Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
edde Опубликовано 23 декабря, 2009 Жалоба Поделиться Опубликовано 23 декабря, 2009 (изменено) Здравствуйте. выполните скрипт авз beginSearchRootkit(true, true);SetAVZGuardStatus(true);TerminateProcessByName('c:\docume~1\user\locals~1\temp\irzhnm.exe');TerminateProcessByName('c:\docume~1\user\locals~1\temp\ifbxrewykfhmqldtfqeb.exe');QuarantineFile('C:\pdqdosbuxjc.bat','');QuarantineFile('I:\pdqdosbuxjc.bat','');QuarantineFile('C:\WINDOWS\system32\WLHooks.dll','');QuarantineFile('wsnzipsugcx.exe','');QuarantineFile('C:\WINDOWS\system32\unfxnwkiqhfggxlx.exe','');QuarantineFile('C:\WINDOWS\system32\kfztlwmmwppsundrbk.exe','');QuarantineFile('C:\WINDOWS\system32\bvohyixwfxwyzrgtc.exe','');QuarantineFile('C:\RECYCLER\S-1-5-21-6642622450-4433649387-227099914-3714\winservices.exe','');QuarantineFile('C:\DOCUME~1\User\LOCALS~1\Temp\vrmhamdepjkorlcrcmz.exe .','');QuarantineFile('C:\DOCUME~1\User\LOCALS~1\Temp\kfztlwmmwppsundrbk.exe','');QuarantineFile('C:\WINDOWS\system32\Drivers\PROCEXP111.SYS','');QuarantineFile('C:\DOCUME~1\User\LOCALS~1\Temp\mc21.tmp','');QuarantineFile('C:\WINDOWS\System32\Drivers\acacfyu8.SYS','');QuarantineFile('C:\DOCUME~1\User\LOCALS~1\Temp\irzhnm.exe','');QuarantineFile('C:\DOCUME~1\User\LOCALS~1\Temp\ifbxrewykfhmqldtfqeb.exe','');QuarantineFile('c:\docume~1\user\locals~1\temp\irzhnm.exe','');QuarantineFile('c:\docume~1\user\locals~1\temp\ifbxrewykfhmqldtfqeb.exe','');DeleteFile('c:\docume~1\user\locals~1\temp\ifbxrewykfhmqldtfqeb.exe');DeleteFile('c:\docume~1\user\locals~1\temp\irzhnm.exe');DeleteFile('C:\DOCUME~1\User\LOCALS~1\Temp\mc21.tmp');DeleteFile('C:\DOCUME~1\User\LOCALS~1\Temp\ifbxrewykfhmqldtfqeb.exe');DeleteFile('C:\DOCUME~1\User\LOCALS~1\Temp\kfztlwmmwppsundrbk.exe');DeleteFile('C:\DOCUME~1\User\LOCALS~1\Temp\vrmhamdepjkorlcrcmz.exe .');DeleteFile('C:\RECYCLER\S-1-5-21-6642622450-4433649387-227099914-3714\winservices.exe');DeleteFile('C:\WINDOWS\system32\bvohyixwfxwyzrgtc.exe');DeleteFile('C:\WINDOWS\system32\kfztlwmmwppsundrbk.exe');DeleteFile('C:\WINDOWS\system32\unfxnwkiqhfggxlx.exe');DeleteFile('wsnzipsugcx.exe');DeleteFile('C:\autorun.inf');DeleteFile('C:\pdqdosbuxjc.bat');DeleteFile('I:\autorun.inf');DeleteFile('I:\pdqdosbuxjc.bat');DeleteFile('C:\WINDOWS\system32\Drivers\utczmjuz.sys');DeleteFile('C:\DOCUME~1\User\LOCALS~1\Temp\mc21.tmp'); RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveAutoRun', 255);DeleteService('mchInjDrv', );DeleteService('acacfyu8', );DeleteService('utczmjuz', ); BC_ImportALL;ExecuteSysClean;BC_DeleteFile('C:\DOCUME~1\User\LOCALS~1\Temp\mc21.tmp');BC_DeleteFile('C:\DOCUME~1\User\LOCALS~1\Temp\ifbxrewykfhmqldtfqeb.exe');BC_DeleteFile('C:\DOCUME~1\User\LOCALS~1\Temp\irzhnm.exe');BC_Activate;ExecuteRepair(6);ExecuteRepair(8);ExecuteRepair(9);ExecuteRepair(17);RebootWindows(true);end. После выполнения скрипта компьютер перезагрузится. После перезагрузки выполнить второй скрипт: beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end. Карантин отправьте мне на myedde<at>operamail.com в архиве с паролем virus ____________________ Cкачайте Gmer или с зеркала. Запустите программу. После автоматической экспресс-проверки, отметьте галочкой все жесткие диски и нажмите на кнопку Scan. После окончания проверки сохраните его лог (нажмите на кнопку Save) под каким хотите именем, например Gmer.log и прикрепите лог сюда. Повторите логи авз Изменено 23 декабря, 2009 пользователем edde Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
thyrex Опубликовано 23 декабря, 2009 Жалоба Поделиться Опубликовано 23 декабря, 2009 (изменено) + к edde 1. Логи делали устаревшим полиморфным AVZ. Почему? 2. После выполнения скрипта новые логи сделать не забудьте Изменено 23 декабря, 2009 пользователем thyrex Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
egils Опубликовано 23 декабря, 2009 Автор Жалоба Поделиться Опубликовано 23 декабря, 2009 Скрипты выполнил. При попытке запуска gmer машина падает в глубокий даун с непереводимымы надписями (похоже на KOI-8) на синем экране. __www.virustotal.com_ru_analisis_292ce617aa2490be9fa961355.pdf C зараженной машины фаилы переношу на здоровую с помощю флешки и потом пересылаю, флешка постоянно заражена. Скрипты выполнил. При попытке запуска gmer машина падает в глубокий даун с непереводимымы надписями (похоже на KOI-8) на синем экране. __www.virustotal.com_ru_analisis_292ce617aa2490be9fa961355.pdf C зараженной машины фаилы переношу на здоровую с помощю флешки и потом пересылаю, флешка постоянно заражена. Лог с зараженной машины, сделанный обычным и обновленным AVZ virusinfo_syscheck.zip __www.virustotal.com_ru_analisis_292ce617aa2490be9fa961355.pdf virusinfo_syscheck.zip Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
edde Опубликовано 23 декабря, 2009 Жалоба Поделиться Опубликовано 23 декабря, 2009 (изменено) Здравствуйте. выполните скрипт авз ДЛЯ ВТОРОГО ЛОГА, Я ТАК ПОНИМАЮ ДЛЯ ВТОРОЙ МАШИНЫ beginSearchRootkit(true, true);SetAVZGuardStatus(true);TerminateProcessByName('c:\docume~1\user\locals~1\temp\vrmhamdepjkorlcrcmz.exe');TerminateProcessByName('c:\docume~1\user\locals~1\temp\irzhnm.exe');QuarantineFile('I:\pdqdosbuxjc.bat','');QuarantineFile('I:\autorun.inf','');QuarantineFile('C:\pdqdosbuxjc.bat','');QuarantineFile('C:\autorun.inf','');QuarantineFile('C:\WINDOWS\system32\vrmhamdepjkorlcrcmz.exe','');QuarantineFile('C:\WINDOWS\system32\unfxnwkiqhfggxlx.exe','');QuarantineFile('C:\WINDOWS\system32\kfztlwmmwppsundrbk.exe','');QuarantineFile('C:\WINDOWS\system32\ifbxrewykfhmqldtfqeb.exe','');QuarantineFile('C:\DOCUME~1\User\LOCALS~1\Temp\xvspkyruhdgmrngxkwljg.exe .','');QuarantineFile('C:\DOCUME~1\User\LOCALS~1\Temp\xvspkyruhdgmrngxkwljg.exe','');QuarantineFile('C:\DOCUME~1\User\LOCALS~1\Temp\ifbxrewykfhmqldtfqeb.exe .','');QuarantineFile('C:\DOCUME~1\User\LOCALS~1\Temp\ifbxrewykfhmqldtfqeb.exe','');QuarantineFile('C:\DOCUME~1\User\LOCALS~1\Temp\mc21.tmp','');QuarantineFile('C:\DOCUME~1\User\LOCALS~1\Temp\vrmhamdepjkorlcrcmz.exe','');QuarantineFile('C:\DOCUME~1\User\LOCALS~1\Temp\irzhnm.exe','');QuarantineFile('c:\docume~1\user\locals~1\temp\vrmhamdepjkorlcrcmz.exe','');QuarantineFile('c:\docume~1\user\locals~1\temp\irzhnm.exe','');DeleteFile('c:\docume~1\user\locals~1\temp\irzhnm.exe');DeleteFile('c:\docume~1\user\locals~1\temp\vrmhamdepjkorlcrcmz.exe');DeleteFile('C:\DOCUME~1\User\LOCALS~1\Temp\ifbxrewykfhmqldtfqeb.exe');DeleteFile('C:\DOCUME~1\User\LOCALS~1\Temp\ifbxrewykfhmqldtfqeb.exe .');DeleteFile('C:\DOCUME~1\User\LOCALS~1\Temp\vrmhamdepjkorlcrcmz.exe');DeleteFile('C:\DOCUME~1\User\LOCALS~1\Temp\xvspkyruhdgmrngxkwljg.exe');DeleteFile('C:\DOCUME~1\User\LOCALS~1\Temp\xvspkyruhdgmrngxkwljg.exe .');DeleteFile('C:\WINDOWS\system32\ifbxrewykfhmqldtfqeb.exe');DeleteFile('C:\WINDOWS\system32\kfztlwmmwppsundrbk.exe');DeleteFile('C:\WINDOWS\system32\unfxnwkiqhfggxlx.exe');DeleteFile('C:\WINDOWS\system32\vrmhamdepjkorlcrcmz.exe');DeleteFile('C:\autorun.inf');DeleteFile('C:\pdqdosbuxjc.bat');DeleteFile('I:\autorun.inf');DeleteFile('I:\pdqdosbuxjc.bat');RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveAutoRun', 255); BC_ImportALL;ExecuteSysClean;BC_DeleteFile('C:\DOCUME~1\User\LOCALS~1\Temp\irzhnm.exe');BC_DeleteFile('C:\DOCUME~1\User\LOCALS~1\Temp\vrmhamdepjkorlcrcmz.exe');BC_DeleteFile('C:\DOCUME~1\User\LOCALS~1\Temp\mc21.tmp'); BC_Activate;ExecuteRepair(6);ExecuteRepair(8); ExecuteRepair(9); ExecuteRepair(17); RebootWindows(true);end. После выполнения скрипта компьютер перезагрузится. После перезагрузки выполнить второй скрипт: beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end. Карантин отправьте мне на myedde<at>operamail.com в архиве с паролем virus автозапуск со сменных носителей будет отключен ____________________ + ко всему Скачайте Malwarebytes' Anti-Malware, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - нажмите "Remove Selected" (удалить выделенные). Откройте лог и скопируйте в сообщение. Прогоните на обоих машинах Повторите логи авз и rsit раздельно для обоих компьютеров Изменено 23 декабря, 2009 пользователем edde Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
egils Опубликовано 23 декабря, 2009 Автор Жалоба Поделиться Опубликовано 23 декабря, 2009 Скачать ничего похожего на антивирусную программу на больной машине не могу. Лог AVZ после выполнения скрипта virusinfo_syscheck.zip Rsit на больной машине тоже нету, я его запускал с флешки. На второй машине NOD борется, и есть подозрение, что победит Карантин отправил virusinfo_syscheck.zip Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
iskander-k Опубликовано 24 декабря, 2009 Жалоба Поделиться Опубликовано 24 декабря, 2009 egils: Вы CureIT запускали ? Скачать - здесь http://www.freedrweb.com/cureit/ Запускать надо в безопасном режиме. Если в безопасный режим войти не получится - запустите в обычном. Или скачайте Dr.Web LiveCD! http://www.freedrweb.com/livecd/ - запустите с него ваш комп и проверьте всё. Результаты сообщите. Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
egils Опубликовано 24 декабря, 2009 Автор Жалоба Поделиться Опубликовано 24 декабря, 2009 Cureit было первое, что я сделал. И в обычном режиме, и загрузившись с CD. Но cureit не нашел ничего Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
akoK Опубликовано 24 декабря, 2009 Жалоба Поделиться Опубликовано 24 декабря, 2009 Очистите временные файлы через Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner - скачайте ATF Cleaner или с зеркала, запустите, поставьте галочку напротив Select All и нажмите Empty Selected. - если вы используете Firefox, нажмите Firefox - Select All - Empty Selected - нажмите No, если вы хотите оставить ваши сохраненные пароли - если вы используете Opera, нажмите Opera - Select All - Empty Selected - нажмите No, если вы хотите оставить ваши сохраненные пароли Скачайте SDFix, загрузитесь в безопасном режиме, запустите утилиту (запустить RunThis.bat - подтвердить, нажав "Y"), после окончания сканирования скопируйте текст из C:\Report.txt и вставьте в следующее сообщение или запакуйте файл C:\Report.txt и прикрепите к сообщению Описание SDFix есть здесь Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол. 1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix. 2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению. Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe Подробнее в "ComboFix. Руководство по применению." Скачайте Gmer или с зеркала. Запустите программу. После автоматической экспресс-проверки, отметьте галочкой все жесткие диски и нажмите на кнопку Scan. После окончания проверки сохраните лог. Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
egils Опубликовано 24 декабря, 2009 Автор Жалоба Поделиться Опубликовано 24 декабря, 2009 В безопасном режиме загрузится не могу. Могу с CD WIN PE. Что выбрать? Обычную загрузку или CD ? Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
edde Опубликовано 24 декабря, 2009 Жалоба Поделиться Опубликовано 24 декабря, 2009 Загрузитесь в том режиме в котором можете Либо выполните скрипт авз компьютер перезагрузится. beginSearchRootkit(true, true);SetAVZGuardStatus(true);ExecuteRepair(10);BC_Activate;RebootWindows(true);end. безопасный режим должен заработать Лог SDFix хотя бы сделали? Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
egils Опубликовано 24 декабря, 2009 Автор Жалоба Поделиться Опубликовано 24 декабря, 2009 Безопасный режим заработал, SDFix и Combofix запустил. Вот логи Report.txt ComboFix.txt Gmer запустил, стал сканировать, через минуту машина упала в BSOD. Report.txt ComboFix.txt Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
akoK Опубликовано 24 декабря, 2009 Жалоба Поделиться Опубликовано 24 декабря, 2009 (изменено) Внимание!!! CF произведет попытку отправить карантин разработчику утилиты Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол. http://www.softboard.ru/index.php?showtopic=63479KillAll::Collect::c:\windows\system32\bvohyixwfxwyzrgtc.exec:\windows\xvspkyruhdgmrngxkwljg.exec:\windows\onljfuosgdhourldreutrp.exec:\windows\vrmhamdepjkorlcrcmz.exec:\windows\ifbxrewykfhmqldtfqeb.exec:\windows\unfxnwkiqhfggxlx.exec:\windows\kfztlwmmwppsundrbk.exec:\windows\bvohyixwfxwyzrgtc.exec:\windows\system32\xvspkyruhdgmrngxkwljg.exec:\windows\system32\onljfuosgdhourldreutrp.exec:\windows\system32\unfxnwkiqhfggxlx.exec:\windows\system32\kfztlwmmwppsundrbk.exec:\windows\system32\ifbxrewykfhmqldtfqeb.exec:\program files\bnyjsubstduohrydeehtepyahyzjaun.ejkc:\program files\zbcdcuryppwgppmhyohjk.kczc:\program files\mbpdpueycpjgcpzhloujxlxcmgkxrokxhp.wcrc:\program files\lbqfsyjejxsqnbmvaelbqfsyjejxsqnbmva.lbqc:\program files\uhtfpsasufxsmxflnosfrdnqyqsdvqkv.jlmc:\windows\system32\ezsidmv.datc:\docume~1\User\LOCALS~1\Temp\xvspkyruhdgmrngxkwljg.exec:\docume~1\User\LOCALS~1\Temp\kfztlwmmwppsundrbk.exec:\docume~1\User\LOCALS~1\Temp\vrmhamdepjkorlcrcmz.exec:\docume~1\User\LOCALS~1\Temp\mc21.tmpDriver::mchInjDrvFolder::Registry::[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]"pdqdosbuxjc"=-"kvfpxyeu"=-[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]"mbpdpueycpjg"=-"bnyjsubst"=-[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]"kvfpxyeu"=-"mdtjxeqmshdcap"=-[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]"bnyjsubst"=-"lbqfsyjejxsqn"=-[HKEY_LOCAL_MACHINE\software\microsoft\windows\Currentversion\policies\explorer\Run]"uhtfpsasuf"=-"vfoxeej"=-[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]"c:\\Documents and Settings\\User\\Local Settings\\Temp\\irzhnm.exe"=-[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\mchInjDrv]FileLook::c:\program files\uHash.exec:\windows\system32\drivers\tmcomm.sys После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe. Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению. Проверьте на www.virustotal.com c:\windows\system32\ntoskrnl.exe c:\windows\system32\sfcfiles.dll c:\windows\system32\ntkrnlpa.exe Изменено 24 декабря, 2009 пользователем akoK Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
egils Опубликовано 24 декабря, 2009 Автор Жалоба Поделиться Опубликовано 24 декабря, 2009 Сетевой шнур из больной машины на теперешний момент выдернут(сеть одноранговая, и эта мразь старается выслать себя на все расшаренные места) После последних деяний блокнот (notepad.exe) отсутсвует в системе как сословие. Какой нибудь текстовый редактор придумаю ( есть еще и wordpad) Cейчас постараюсь все сделать Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
egils Опубликовано 24 декабря, 2009 Автор Жалоба Поделиться Опубликовано 24 декабря, 2009 virustotal пока не открывается в принципе - в смысле - сразу закрывается Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
egils Опубликовано 24 декабря, 2009 Автор Жалоба Поделиться Опубликовано 24 декабря, 2009 Скрипт ComboFix выполнил. Все три упомянутые ВАМИ фаилы на virustotal по нулям. Сеичас ухожу от больной машины, работать она стала получше, сетевой шнур выдергиваю, и запускаю дефрагментацию Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
egils Опубликовано 26 декабря, 2009 Автор Жалоба Поделиться Опубликовано 26 декабря, 2009 После еще нескольких сканирований и удалений система выглядит вот так : info.txt log.txt virusinfo_syscheck.zip Notepad.exe нет, но в общих чертах все работает, даже Avast установил и просканировал. Что скажете, Уважаемые ? info.txt log.txt virusinfo_syscheck.zip Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
edde Опубликовано 26 декабря, 2009 Жалоба Поделиться Опубликовано 26 декабря, 2009 (изменено) egils После еще нескольких сканирований и удалений Вы бы сообщили хоть о своих действиях что сканировали и тем более что удалили. Где лог комбофикс? :bleh: Логи авз тоже повторите virusinfo_syscure.zip тоже нужен и крайне желательно не запускайте других программ на время сканирования :bleh: Покер сильно нужен? если нет удалите. Все три упомянутые ВАМИ фаилы на virustotal по нулям Не расстраивайтесь, это не плохо а очень даже хорошо :D Notepad.exe нет, но в общих чертах все работает Найдите диск с дистрибутивом widows выполните в командной строке sfc /scannow Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду Combofix /u, нажмите кнопку "ОК" Скачайте OTCleanIt или с зеркала, запустите, нажмите Clean up[/img] Изменено 26 декабря, 2009 пользователем edde Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
egils Опубликовано 26 декабря, 2009 Автор Жалоба Поделиться Опубликовано 26 декабря, 2009 Сканировал по нескольку раз Cureit и AVZ, загрузишь как в безопасном режиме, так и с CD. Установил Malwarebytes и Avast и просканировал ими. Удалял все, что они находили. Что неудалялось, запускал AVZ и удалял им. Я думаю Вы уже догодались, что машина не моя, поэтому с покером дела хуже - поставят снова :bleh:. Новые логи попозже сделаю. (Все четыре) Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
egils Опубликовано 26 декабря, 2009 Автор Жалоба Поделиться Опубликовано 26 декабря, 2009 Вот новые логи и Combofix info.txt ComboFix.txt virusinfo_syscheck.zip virusinfo_syscure.zip log.txt virusinfo_syscheck.zip virusinfo_syscure.zip ComboFix.txt info.txt log.txt Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
edde Опубликовано 26 декабря, 2009 Жалоба Поделиться Опубликовано 26 декабря, 2009 (изменено) Выполните скрипт авз beginClearQuarantine;SearchRootkit(true, true);SetAVZGuardStatus(true);QuarantineFile('c:\windows\system32\ezsidmv.dat',' ');QuarantineFile('C:\WINDOWS\system32\WLHooks.dll',' ');QuarantineFile('C:\DOCUME~1\User\LOCALS~1\Temp\mc21.tmp','');QuarantineFile('C:\WINDOWS\system32\drivers\akh50yuw.sys',' ');DeleteFile('c:\windows\system32\ezsidmv.dat');DeleteFile('C:\DOCUME~1\User\LOCALS~1\Temp\mc21.tmp');DeleteFile('C:\WINDOWS\system32\drivers\akh50yuw.sys');BC_ImportALL;ExecuteSysClean;BC_DeleteSvc('mchInjDrv');BC_DeleteSvc('akh50yuw');BC_Activate;RebootWindows(true);end. После выполнения скрипта компьютер перезагрузится. выполните beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end. проверьте карантин на http://www.virustotal.com/ru/ и сообщите результат P.S. Чть поправил скрипт, повторите если сделали уже предыдущий Изменено 26 декабря, 2009 пользователем edde Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
egils Опубликовано 26 декабря, 2009 Автор Жалоба Поделиться Опубликовано 26 декабря, 2009 Карантин на virustotal по нулям. notepad так и ненашелся - на машине стоит FYB2008, и на его диске sfc ненаходит notepad. В пуск> програмы >стандартные > блокнот ссылка на actmovie.exe в папке \system32. И такой файл там есть, и еще в пару местах, Avast его не сканирует, malwarebytes признает чистым. На virustotal он тоже чистый. Что-то мне это не нравится :D Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
egils Опубликовано 26 декабря, 2009 Автор Жалоба Поделиться Опубликовано 26 декабря, 2009 Notepad2.exe нашелся в папке C:/WINDOWS/TEMP. Оттуда я его и его .ini файл переместил в system32, поменял ссылку и - работает. TEMP и все другие темпы очистил, но повторюсь -не нравится мне все это. Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
edde Опубликовано 26 декабря, 2009 Жалоба Поделиться Опубликовано 26 декабря, 2009 egils Посмотрите какой размер карантина и сколько файлов туда попало. Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
egils Опубликовано 26 декабря, 2009 Автор Жалоба Поделиться Опубликовано 26 декабря, 2009 Размер - 63823 b Двенадцать файлов - avz00001.dta avz00001.ini avz00002.dta avz00002.ini bcgr00001.ini bcgr00002.ini bcgr00003.ini bcgr00004.ini bcgr00005.ini bcgr00006.ini bcgr00007.ini bcgr00008.ini Машина в принципе работает, и неплохо. Грузится, правда, для FYB долго. Я никогда не пользовался Avast!ом, поэтому не могу судить, насколько он замедляет загрузку. Эта машина с ее FYBом по сравнению с моей с лицензионной Windой(стоит NOD32) грузилась моментом(на ней стоял Avira), а теперь примерно одинаково, если даже не хуже. Я согласен - автозагрузку(и не только) там следует почистить, но до теперешних прблем это работало очень красиво со всем тем мусором, который там установлен. P.S. В сеть пока что ничто не лезет Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.