[iskander-k]

Здравствуйте.

Выполните следующее

Восстановление системы. Создание новой контрольной точки восстановления и очистка предыдущих.
1. Отключите антивирус/фаервол, интернет;

2. Очистите и создайте новую контрольную точку восстановления :
1. Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно-Восстановление системы нажмите Очистить
2. Нажмите Пуск- Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать.

Очистите временные файлы.
Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner
- скачайте ATF Cleaner или с зеркала , запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
- если вы используете Firefox, нажмите Firefox - Select All - Empty Selected
- нажмите No, если вы хотите оставить ваши сохраненные пароли
- если вы используете Opera, нажмите Opera - Select All - Empty Selected
- нажмите No, если вы хотите оставить ваши сохраненные пароли.[*]

Удалите программу ASKSBAR

Скопируйте и выполните, расположенный ниже, скрипт в AVZ.

Перед выполнением скрипта в АВЗ отключите все программы защиты(антивирус, файрволл). Включите брандмауэр Windows

1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать данный вам скрипт-- Нажать кнопку "Запустить".

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\Program Files\AskSBar\bar\1.bin\ASKSBAR.DLL','');
 QuarantineFile('C:\Documents and Settings\Женя.RAP\Application Data\Microsoft\Internet Explorer\qipsearchbar.dll','');
 DeleteFile('C:\Documents and Settings\Женя.RAP\Application Data\Microsoft\Internet Explorer\qipsearchbar.dll');
 DeleteFile('C:\Program Files\AskSBar\bar\1.bin\ASKSBAR.DLL');
 DelBHO('{F0D4B239-DA4B-4daf-81E4-DFEE4931A4AA}');
 DelBHO('{F0D4B231-DA4B-4daf-81E4-DFEE4931A4AA}');
 DelBHO('{95289393-33EA-4F8D-B952-483415B9C955}');
 BC_ImportALL;
 ExecuteSysClean;
 BC_Activate;
 RebootWindows(true);
end.

После перезагрузки выполните скрипт

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine .zip');
end.

В результате выполнения скрипта будет сформирован карантин quarantine.zip Вышлите полученный файл quarantine.zip на newvirus@kaspersky.com. Результаты ответа, сообщите здесь, в теме.

Пофиксить в HijackThis.

Код:

O2 - BHO: QIPBHO - {95289393-33EA-4F8D-B952-483415B9C955} - C:\Documents and Settings\Женя.RAP\Application Data\Microsoft\Internet Explorer\qipsearchbar.dll
O2 - BHO: MyCentria Internet Mate v2.2 - {FFFC57DB-1DE3-4303-B24D-CEE6DCDD3D86} - (no file)
O3 - Toolbar: Ask Toolbar - {F0D4B239-DA4B-4daf-81E4-DFEE4931A4AA} - C:\Program Files\AskSBar\bar\1.bin\ASKSBAR.DLL

Обновите базы AVZ и сделайте новые логи. - В нормальном рабочем режиме.




Скачайте Malwarebytes Anti-Malware, установите, обновите базы, выберите Perform Full Scan, нажмите Scan, после сканирования - Ok - Show Results (показать результаты) - нажмите Remove Selected (удалить выделенные). Откройте лог и скопируйте в сообщение.

[Chig777]

Все сделал, ASKSBAR удалил из папки Program Files.
Щас проверю еще Malwarebytes Anti-Malware..
Но пока винда не грузится. Вот логи опять из безопасного режима ПОСЛЕ вышеуказанных процедур.

п.с. при запуске винды в обыном режиме просто зависает, аваст находит вирус в winlogon.exe и все, удалить его неможет (Read only)

[iskander-k]

Chig777, Вы дали старые логи

Цитата:

Протокол антивирусной утилиты AVZ версии 4.30 Сканирование запущено в 05.08.2009 18:56:35

"новый" лог

Цитата:

Протокол антивирусной утилиты AVZ версии 4.30 Сканирование запущено в 05.08.2009 18:56:35

время одинаковое.

Вы наверное не сделали скрипт.

Из папки с АВЗ ( к примеру \avz4\LOG ) удалите всё и сделайте новые логи.

[Chig777]

сорри.. ошибочка вышла.. не из той папки залил.

[thyrex]

Chig777, что происходит при попытке загрузиться в обычном режиме?

[yurfed]

Chig777, фиксить

Цитата:

O4 - Global Startup: BTTray.lnk = ? O9 - Extra button: BitComet - {D18A0B52-D63C-4ed0-AFC6-C1E3DC1AF43A} - res://F:\BitComet\tools\BitCometBHO_1.2.2.28.dll/206 (file missing) O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\DOCUME~1\31C4~1.RAP\LOCALS~1\Temp\Rar$EX19.828\PHILka.RU_PowerDVD Ultra v9.0.1501\setup\RichVideo\RichVideo.exe O16 - DPF: {3EA4FA88-E0BE-419A-A732-9B79B87A6ED0} (CTVUAxCtrl Object) - http://dl.tvunetworks.com/TVUAx.cab O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto (?) O2 - BHO: MyCentria Internet Mate v2.2 - {FFFC57DB-1DE3-4303-B24D-CEE6DCDD3D86} - (no file) O2 - BHO: QIPBHO - {95289393-33EA-4F8D-B952-483415B9C955} - C:\Documents and Settings\Женя.RAP\Application Data\Microsoft\Internet Explorer\qipsearchbar.dll O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - F:\BitComet\tools\BitCometBHO_1.2.2.28.dll (file missing) R3 - Default URLSearchHook is missing

Для начала пофиксите это. Вместо BitComet (если используете), пользуйте uTorrent.

[okshef]

yurfed, службы (023) через HJT не фиксятся, об этом говорил Pili.

[yurfed]

Цитата okshef:

службы (023) через HJT не фиксятся »

некоторые и то через раз. Никакой закономерности. Возможно от приоритета?

[akok]

yurfed, для фикса служб через HJT нужно немного с бубном поплясать Тем более есть более эффективные инструменты для удаления служб.