[iskander-k]

sztksales, Здравствуйте. Выложите логи в соответствии с этими инструкциями.

[thyrex]

Попробуйте код ХХХХХХХХХХХХХХХХ
Если поможет, выполните то, что рекомендовал iskander-k в предыдущем сообщении

[sztksales]

Привет iskander-k, и thyrex, !
Спасибо, что откликнулись на мою беду.

Итак по пунктам: 1. Выставляю логи для изучения.
Хотя логи я бы несмог выставить так, как доступ к компьютеру был абсолютно ограничен и недоступен, если бы не подсказка thyrex, благодая его коду я смог войти в систему Windows xp2000!!!! Спасибо!!!!!
Хочу теперь узнать как поживает мой компьютер.
P.S. Что смог увидеть невооруженным взглядом это то, что у меня например неработает диспетчер задач, нажимаю ctrl+alt+delet= пишет, что отключен администатором.....

[thyrex]

Цитата sztksales:

Вы пишите -выполните то, что рекомендовал iskander-k в предыдущем сообщении »

Сообщение №2 в этой теме

На время выполнения скриптов отключите все защитное ПО (антивирус, файрволл). Включите брандмауэр Windows

Пофиксить в HiJack

Код:

 F2 - REG:system.ini: Shell=explorer.exe,user32.exe
F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,

Выполните скрипт в AVZ

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('taskkill.exe','');
 QuarantineFile('cmd.exe','');
 QuarantineFile('E:\md.exe','');
 QuarantineFile('E:\autorun.inf','');
 QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
 TerminateProcessByName('c:\windows\system32\user32.exe');
 QuarantineFile('c:\windows\system32\user32.exe','');
 DeleteFile('c:\windows\system32\user32.exe');
 DeleteFile('C:\WINDOWS\system32\sdra64.exe');
 DeleteFile('E:\autorun.inf');
 DeleteFile('E:\md.exe');
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(16);
RebootWindows(true);
end.

Компьютер перезагрузится.

Выполнить скрипт в AVZ.

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com. Полученный ответ сообщите здесь.

Сделайте новые логи

[sztksales]

thyrex,
Я во время выполнения скриптов отключал все защитное ПО!!!!!! Как написано в руководстве.
Иак выставляю новые логи. Да и я как вы thyrex сказали написал письмо и отправил quarantine.zip из папки AVZ.
Вот их Ответ: Здравствуйте,

autorun.inf

Вредоносный код в файле не обнаружен.

md.exe_ - Trojan-Ransom.Win32.SMSer.ge

Этот файл определяется антивирусом. Обновите антивирусные базы.

Пожалуйста, при ответе включайте переписку целиком.
Ответ актуален для последних баз с источников обновлений.

--
С уважением, Сергей Прокудин
Вирусный аналитик Лаборатории Касперского.

[akok]

Что с проблемой?

Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду Combofix /u, нажмите кнопку "ОК"


Скачайте OTCleanIt, запустите, нажмите Clean up



Скачайте Malwarebytes' Anti-Malware, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - нажмите "Remove Selected" (удалить выделенные). Откройте лог и скопируйте в сообщение.

[sztksales]

akok, Добрый день.

Ну что я могу сказать, что при включении компьютера заставки вируса просящего перевести денег у меня нет. Кстати вот его фото ( прошу заранее извинить за плохое качество, так как технические возможности на моем телефоне фотика очень малы по пикселям....Ну хоть что то чем совсем ничего)

Теперь по существу вами сказанного:
1. У меня на компе нет Combofix. Где вы его нашли у меня??? Немогли бы вы показать адрес его нахождения....
2. Пытался загрузить и запустить OTCleanIt после нажатия клавиши "Выполнить" (чтоб запустить программу) комп мне выдает следющее предупреждение: С:\Documents and Settings\Fylhtq|Local Settings\Temporary Internet Files\Content.IE5\2K10LU2J\OTC[1]exe не является приложением Win32 и дальше нет никаких сдвигов в работе данной программы.
3. Прикладываю лог файл Результаты сканирования Malwarebytes' Anti-Malware

[akok]

Цитата:

С:\Documents and Settings\Fylhtq|Local Settings\Temporary Internet Files\Content.IE5\2K10LU2J\OTC[1]exe не является приложением Win32

Его бы сохранить на рабочий стол.

Цитата:

1. У меня на компе нет Combofix. Где вы его нашли у меня??? Немогли бы вы показать адрес его нахождения....

Код:

C:\ComboFix\catchme.sys

Драйвер висит в системе.

[sztksales]

akok,

Сделал как Вы сказали. Прочистил комап прогой OTCleanIt.
Снова загрузил ComboFix и снес данную программу, так как на C:\ComboFix\catchme.sys его невижу.. ....
И последний вопрос к вам на данном форуме.
Результаты сканирования Malwarebytes' Anti-Malware я выставил... Немогли бы вы сказать, что на смом деле вредное, а что можно оставить неподчищая все и вся так как например строчки:

Код:

e:\властелин колец\властелин колец - битва за средиземье ii - под знаменем короля-чародея (софт клаб) адд\Keygen.exe (Malware.Packer) -> No action taken.
e:\мои документы\downloads\universal document converter 4.2\Patch\Patch.exe (Backdoor.IRCBot) -> No action taken.
e:\мои документы\downloads\властелин колец\властелин колец - битва за средиземье ii - под знаменем короля-чародея (софт клаб) адд\Keygen.exe (Malware.Packer) -> No action taken.

Так как эти файлы от игры. А вот что с другими строчками делать????? Неужели все их надо удалять?????
Или что то можно оставить?????