[Drongo]

Good, Привет.

• HiJackThis Нужно пофиксить эти строки в HiJackThis. Выставив галочки напротив этих пунктов и нажмите кнопку Fix Checked. Как пофиксить в HijackThis

Код:

R3 - URLSearchHook: (no name) - {CA3EB689-8F09-4026-AA10-B9534C691CE0} - (no file)
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

• Скрипт AVZ.
Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('c:\docume~1\user\locals~1\temp\mc21.tmp','');
 DeleteFile('c:\docume~1\user\locals~1\temp\mc21.tmp');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После всех процедур выполните скрипт

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин quarantine.zip. Полученный архив отправьте на quarantine<at>virusnet.info (at=@) с указанной ссылкой на тему. , в названии темы укажите - "Проверка карантина". В теле сообщения укажите адрес своей темы на форуме. Результаты ответа, сообщите здесь, в теме.

---

• Скачайте Malwarebytes Anti-Malware, установите, обновите базы, выберите Perform Full Scan, нажмите Scan, после сканирования - Ok - Show Results (показать результаты) . Откройте лог и скопируйте в блокнот и выложите в сообщение.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

Что с проблемой после выполнения скрипта?

[Good]

Цитата Drongo:

Что с проблемой после выполнения скрипта? »

Файла не оказалось в temp. В карантине только 2 ini файла,

читать дальше »

bcqr00001.ini

Код:

[InfectedFile]
Src=\??\c:\docume~1\user\locals~1\temp\mc21.tmp
Infected=bcqr00001.dat
Virus=BootCleaner quarantine
Size=0
CopyStatus=C0000034

bcqr00002.ini

Код:

[InfectedFile]
Src=\??\c:\docume~1\user\locals~1\temp\mc21.tmp
Infected=bcqr00002.dat
Virus=BootCleaner quarantine
Size=0
CopyStatus=C0000034

Цитата Drongo:

Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM. »

Page Not Found

Автоматическое обновление прошло успешно.

Вроде-бы все нормально, пока сканирую комп программой Malwarebytes Anti-Malware.

[Good]

Лог проверки Malwarebytes Anti-Malware:

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Версия базы данных: 5617

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

27.01.2011 16:27:00
mbam-log-2011-01-27 (16-26-52).txt

Тип сканирования: Полное сканирование (C:\|)
Просканированные объекты: 207288
Времени прошло: 1 часов, 2 минут, 36 секунд

Заражённые процессы в памяти: 0
Заражённые модули в памяти: 0
Заражённые ключи в реестре: 0
Заражённые параметры в реестре: 1
Объекты реестра заражены: 8
Заражённые папки: 0
Заражённые файлы: 4

Заражённые процессы в памяти:
(Вредоносных программ не обнаружено)

Заражённые модули в памяти:
(Вредоносных программ не обнаружено)

Заражённые ключи в реестре:
(Вредоносных программ не обнаружено)

Заражённые параметры в реестре:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\ForceClassicControlPan el (Hijack.ControlPanelStyle) -> Value: ForceClassicControlPanel -> No action taken.

Объекты реестра заражены:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowMyDocs (PUM.Hijack.StartMenu) -> Bad: (0) Good: (1) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowSearch (PUM.Hijack.StartMenu) -> Bad: (0) Good: (1) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoSMHelp (PUM.Hijack.Help) -> Bad: (1) Good: (0) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\StartmenuLogoff (PUM.Hijack.StartMenu) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoSMHelp (PUM.Hijack.Help) -> Bad: (1) Good: (0) -> No action taken.

Заражённые папки:
(Вредоносных программ не обнаружено)

Заражённые файлы:
c:\WINDOWS\system32\CPLDAPU\ProduKey.exe (PUP.PSWTool.ProductKey) -> No action taken.
c:\documents and settings\User\рабочий стол\новая папка\Файлы\algoritm2rulast.exe (Spyware.Passwords) -> No action taken.
c:\program files\irfanview\languages\RUSSIAN.DLL (Malware.Packer.Gen) -> No action taken.
c:\program files\unixtools\nc.exe (Backdoor.NetCat) -> No action taken.

P.S.
24 янв. RUSSIAN.DLL аваст детектировал как Win32:Adware-gen. Отправил файл на проверку, в меню аваста. На следующий день, после очередного обновления баз, проверил снова файл - вирусов нет. Восстановил из карантина. Видимо, ложное срабатывание было.

[Drongo]

Good, По логам МВАМ всё хорошо. Повторите логи утилитой RSIT и AVZ как в первом сообщении.

[Good]

Логи

[SolarSpark]

смотрю

[SolarSpark]

Код:

Заблокированы настройки системы Windows Update

сами блокировали?

Отключите:
Компьютер от интернета/локальной сети
Антивирус/Файерволл

AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('c:\docume~1\user\locals~1\temp\mc21.tmp','');
 DeleteFile('c:\docume~1\user\locals~1\temp\mc21.tmp');
 DelBHO('{710EB7A1-45ED-11D0-924A-0020AFC7AC4D}');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteFile('c:\docume~1\user\locals~1\temp\mc21.tmp');
BC_Activate;
ExecuteRepair(6);
RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
ExecuteRepair(8);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится!

После перезагрузки выполните такой скрипт:

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин.Отправьте c:\quarantine.zip при помощи этой формы
В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus" (без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Результаты ответа, сообщите здесь, в теме.

логи AVZ повторите

[Good]

Цитата maniy77:

сами блокировали? »

Да.

Файл карантина отправил.

[SolarSpark]

логи AVZ повторите
и напишите как самочувствие после скрипта