[pitrex]

логи

[Drongo]

pitrex, здравствуйте. перед лечением выполните несколько предварительных рекомендаций.

Предварительные рекомендации перед лечением:

1. Очистите временные файлы.
   
   Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner
   - скачайте ATF Cleaner или с зеркала, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
   - если вы используете Firefox, нажмите Firefox - Select All - Empty Selected
   - нажмите No, если вы хотите оставить ваши сохраненные пароли
   - если вы используете Opera, нажмите Opera - Select All - Empty Selected
   - нажмите No, если вы хотите оставить ваши сохраненные пароли.
   
   
2. Восстановление системы. Создание новой контрольной точки восстановления и очистка предыдущих.
   • Создание новой точки восстановления: Нажмите Пуск => Программы => Стандартные => Служебные => Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать
   • Очистка всех предыдущих точек восстановления: Нажмите Пуск => Программы => Стандартные => Служебные => Очистка диска, выберите системный диск, на вкладке Дополнительно => Восстановление системы нажмите Очистить, нажмите Да для очистки всех точек восстановления, кроме последней.
     
     Как это сделать, можно подробно прочитать здесь.

* Подробнее можно прочитать в этой теме.

• Скрипт AVZ.
Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('spqq.sys','');
 QuarantineFile('C:\WINDOWS\system32\drivers\oreans32.sys','');
 DeleteFile('C:\WINDOWS\system32\drivers\oreans32.sys');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteRepair(13);
 ExecuteRepair(17);
RebootWindows(true);
end.

После всех процедур выполните скрипт

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин quarantine.zip Вышлите полученный файл quarantine.zip на newvirus@kaspersky.com. Результаты ответа, сообщите здесь, в теме.

• Если строка останется, пофиксите в HiJackThis. Выставив галочки напротив этих пунктов и нажмите кнопку Fix Checked. Как пофиксить в HijackThis

Код:

O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

Запланированные задачи для планировщика задач, вы создавали?

Цитата:

C:\Documents and Settings\Pitrex\Шаблоны\6480-NendangBro.com

[pitrex]

Дело В ТОМ ЧТО ЭТО ПРОБЛЕМА КАК РАЗ ТАКИ И ВОЗНИКЛА ПОСЛЕ ОЧИСТКИ СИСТЕМЫ (ДОКТОР ВЕБОМ) В ЧАСТНОСТИ ВИРУСА "killvbs" сейчас то вирусов нет. Пофиксил строку 07-HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1)

не помогло окно про "сценарии" появляется(как быть?

А и про планировщик задач- нет эт явн не я

А и про планировщик задач- нет эт явн не я

[pitrex]

Еще теперь пчемуто не могу пробэйкапить эту строку, запускал не с архива, пишет ошибка.. An unexpected error has occurred at procedure: modBackup_RestoreBackup(sItem=имяЗЛОПОЛУЧНОЙстроки)Error #62 - Input past end of file

[Drongo]

pitrex, Предыдущий скрипт выполняли? Если нет, выполните. Карантин отсылали? Результат по карантину есть?

Выполните другой скрипт.

• Скрипт AVZ.
Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\Documents and Settings\Pitrex\Шаблоны\6480-NendangBro.com','');
 DeleteFile('C:\Documents and Settings\Pitrex\Шаблоны\6480-NendangBro.com');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После всех процедур выполните скрипт

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин quarantine.zip Вышлите полученный файл quarantine.zip на newvirus@kaspersky.com. Результаты ответа, сообщите здесь, в теме.

Нужно сделать ещё логи GMER

• Cкачайте Gmer или с зеркала. Запустите программу. После автоматической экспресс-проверки, отметьте галочкой все жесткие диски и нажмите на кнопку Scan. После окончания проверки сохраните его лог (нажмите на кнопку Save) под каким хотите именем, например Gmer.log и прикрепите лог сюда

[yurfed]

pitrex, то, что выделено, смело удаляйте. Если пользуетесь IE, сделайте - Свойства Обозревателя - Дополнительно - Сброс всех параметров.
Ребята скрипты думаю напишут. Пока можете так.
Помоему вас мучает выделенное красным.
Посмотрите скрытые и системные файлы, у вас autorun.inf в корне диска имеется?

O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O9 - Extra button: Cтатистика Веб-Антивируса - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Workstations\SCIEPlgn.dll
O9 - Extra button: Справочные материалы - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1.0FO\adialhk.dll
O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS\system32\imapi.exe
O23 - Service: MSCSPTISRV - Unknown owner - C:\Program Files\Common Files\Sony Shared\AVLib\MSCSPTISRV.exe (file missing)
O23 - Service: PACSPTISVR - Unknown owner - C:\Program Files\Common Files\Sony Shared\AVLib\PACSPTISVR.exe (file missing)
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Unknown owner - C:\Program Files\Common Files\Sony Shared\AVLib\SPTISRV.exe (file missing)
O23 - Service: Application Driver Auto Removal Service (01) (appdrvrem01) - Protection Technology - C:\WINDOWS\System32\appdrvrem01.exe
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1.0FO\adialhk.dll
O9 - Extra button: Cтатистика Веб-Антивируса - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Workstations\SCIEPlgn.dll
O4 - HKCU\..\Run: [ChristmasTree] C:\Documents and Settings\Pitrex\Рабочий стол\Флэшшка\Christmas.exe
O4 - HKLM\..\Run: [JMB36X Configure] C:\WINDOWS\system32\JMRaidSetup.exe boot
F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,c:\windows\system32\wscript.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.apeha.ru
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.games-fusion.net/

[pitrex]

Оу я разберусь отпишусь..ну в кратце : за ту строку которую пофиксил можн не переживать и не бэкапить ее да? Эти красные тож фиксить?? А вообще я еще раз сделаю как все написано выше ,логи выложу чеб наверняка. Ну и все равно спасиб.