dytyna Posted February 1, 2010 Report Share Posted February 1, 2010 Буду благодарна за инструкцию. Link to comment Share on other sites More sharing options...
snifer67 Posted February 1, 2010 Report Share Posted February 1, 2010 - Закройте/выгрузите все программы кроме Internet Explorer. Отключите - ПК от интернета/локальной сети. - Выполните скрипт в avz beginDeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);SearchRootkit(true, true);SetAVZGuardStatus(True);DelBHO('{D7B4D56E-FAB7-11DA-A843-0013D4B31400}');QuarantineFile('C:\Program Files\eSMSeMMS\IEPlugin\Bin\tmIEToolbar.dll','');DelBHO('{1BB22D38-A411-4B13-A746-C2A4F4EC7344}');DelBHO('{FCBCCB87-9224-4B8D-B117-F56D924BEB18}');QuarantineFile('C:\Program Files\IEToolbar404\find404.com search engine\tbu08146\mod_find404_finaaaaaal.dll','');QuarantineFile('explorer.exe,C:\RECYCLER\S-1-5-21-2036755568-8032317045-721840640-7501\nissan.exe','');QuarantineFile('C:\WINDOWS\system32\vilaunch.exe','');DeleteFile('explorer.exe,C:\RECYCLER\S-1-5-21-2036755568-8032317045-721840640-7501\nissan.exe');DeleteFile('C:\Program Files\IEToolbar404\find404.com search engine\tbu08146\mod_find404_finaaaaaal.dll');DeleteFile('C:\Program Files\eSMSeMMS\IEPlugin\Bin\tmIEToolbar.dll');BC_ImportDeletedList;ExecuteSysClean;BC_Activate;ExecuteRepair(6);ExecuteRepair(8);RebootWindows(true);end. - ПК перезагрузите. - Выполнить скрипт в AVZ. var qfolder: string; qname: string;begin qname := GetAVZDirectory + '..\Quarantine\quarantine.zip'; qfolder := ExtractFilePath(qname); if (not DirectoryExists(qfolder)) then CreateDirectory(qfolder); CreateQurantineArchive(qname); ExecuteFile('explorer.exe', qfolder, 1, 0, false);end. Вы увидите папку с архивом. Это - карантин. - Карантин отправьте на newvirus@kaspersky.com. В теле письма сообщите, что пароль на архив "virus"(без кавычек). Полученный ответ сообщите здесь. - Сделайте новые логи. Link to comment Share on other sites More sharing options...
dytyna Posted February 1, 2010 Author Report Share Posted February 1, 2010 Новые логи прилагаю. Ответа еще нет. П.С. snifer67, а Вы почему без щита? Link to comment Share on other sites More sharing options...
snifer67 Posted February 2, 2010 Report Share Posted February 2, 2010 Чисто.Что с проблемой? П.С. snifer67, а Вы почему без щита? Скоро будет. :blink: Link to comment Share on other sites More sharing options...
dytyna Posted February 3, 2010 Author Report Share Posted February 3, 2010 Чисто.Что с проблемой? Не знаю, проявлений никаких сейчас не было, а провоцировать не хочу. Перед проверкой не срабатывало восстановление системы (висло приблизительно после 1/3). Ответ из лаборатории так и не пришел - это впервые такое. Link to comment Share on other sites More sharing options...
dytyna Posted February 3, 2010 Author Report Share Posted February 3, 2010 Постоянно из разных папок пропадают какие-то dll-ки. Закрыть программу нельзя, сохранить нельзя... Link to comment Share on other sites More sharing options...
edde Posted February 3, 2010 Report Share Posted February 3, 2010 Новые логи подготовьте Link to comment Share on other sites More sharing options...
dytyna Posted February 3, 2010 Author Report Share Posted February 3, 2010 Новые логи подготовьте Вот. Link to comment Share on other sites More sharing options...
dytyna Posted February 3, 2010 Author Report Share Posted February 3, 2010 Новые логи подготовьте Вот. Вещи происходят странные, каких раньше не было. Пропала возможность сохранять изображения (сканер заявил, что "невозможно записать в файл"). RSIT не стработал - дважды вылетал в "синий экран". Link to comment Share on other sites More sharing options...
edde Posted February 3, 2010 Report Share Posted February 3, 2010 Christmas.exe - Знакомо? выполните скрипт авз beginSearchRootkit(true, true);SetAVZGuardStatus(true);QuarantineFile('C:\Temp\Rar$EX00.250\Christmas.exe','');QuarantineFile(' C:\WINDOWS\system32\vilaunch.exe','');DeleteFile('C:\Temp\Rar$EX00.250\Christmas.exe');DelBHO('{1E796980-9CC5-11D1-A83F-00C04FC99D61}');DelBHO('{710EB7A1-45ED-11D0-924A-0020AFC7AC4D}');BC_ImportAll;ExecuteSysClean;BC_Activate;RebootWindows(true);end. Коипьютер перезагрузится После перезагрузки выполните второй скрипт: beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end. В результате выполнения скрипта будет сформирован карантин quarantine.zip Вышлите полученный файл quarantine.zip на newvirus@kaspersky.com. Повторите логи Сделайте лог RSIT Link to comment Share on other sites More sharing options...
dytyna Posted February 3, 2010 Author Report Share Posted February 3, 2010 RSIT сработала. Прилагаю. Link to comment Share on other sites More sharing options...
edde Posted February 3, 2010 Report Share Posted February 3, 2010 Vista transformation pack у вас стоит? Вот чудо это не меньше проблем создает. И при всём уважении ко всему :) смените антивирус. выполните скрипт авз beginExecuteRepair(19);end. Для отключения автозапуска с внешних носителей выполните скипт beginRegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);end. Скачайте и запустите http://oldtimer.geekstogo.com/TFC.exe Link to comment Share on other sites More sharing options...
dytyna Posted February 4, 2010 Author Report Share Posted February 4, 2010 Vista transformation pack - попробую избавиться. Автозапуск с внешних носителей в норме отключен, но после выполнения стандартных скриптов АВЗ обязательно возвращается! TFC.exe - это для очищения темпов? Постоянно пользуюсь ATF-Cleaner-ом. TFC захотела перезагрузить компьютер, операция оборвалась в процессе перезагрузки (опять "синий экран"). Может ли это быть из-за Vista transformation pack? Link to comment Share on other sites More sharing options...
edde Posted February 4, 2010 Report Share Posted February 4, 2010 Очень может, как самочувствие? Link to comment Share on other sites More sharing options...
dytyna Posted February 4, 2010 Author Report Share Posted February 4, 2010 (edited) Очень может, как самочувствие? Ничего не изменилось. Из Касперского ответа нет ни на первый карантин, ни на второй. Edited February 5, 2010 by dytyna Link to comment Share on other sites More sharing options...
dytyna Posted February 5, 2010 Author Report Share Posted February 5, 2010 Запустила MBAM на полное сканирование, показал вот что: Registry Keys Infected: HKEY_CLASSES_ROOT\urlsearchhook.toolbarurlsearchhook (Adware.Ecobar) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\urlsearchhook.toolbarurlsearchhook.1 (Adware.Ecobar) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\CLSID\{ca3eb689-8f09-4026-aa10-b9534c691ce0} (Adware.Ecobar) -> Quarantined and deleted successfully. Остальное были карантины антивирусов. Link to comment Share on other sites More sharing options...
шпилька Posted February 5, 2010 Report Share Posted February 5, 2010 Хотела предложить запустить Malwarebytes Anti-Malware для сканирования, да Вы меня опередили. :1eye: Vista transformation pack не удалили? У меня система тормозила, когда была установлена эта программа. Пришлось расстаться с ней. :bye1: Link to comment Share on other sites More sharing options...
dytyna Posted February 5, 2010 Author Report Share Posted February 5, 2010 Еще не поняла как. Попробую сейчас. Link to comment Share on other sites More sharing options...
шпилька Posted February 5, 2010 Report Share Posted February 5, 2010 Деинсталлируйте с чисткой реестра. Удачи!! :bye1: Link to comment Share on other sites More sharing options...
Recommended Posts