[help?]

Привет.
• HiJackThis Нужно пофиксить эти строки в HiJackThis. Выставив галочки напротив этих пунктов и нажмите кнопку Fix Checked. Как пофиксить в HijackThis

Код:

R3 - URLSearchHook: (no name) -  - (no file)
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,\\?\globalroot\systemroot\system32\mK1OXOX.exe,\\?\globalroot\systemroot\system32\1GQ0f2l.exe,\\?\globalroot\systemroot\system32\Qqqibt3.exe,\\?\globalroot\systemroot\system32\3YyFshh.exe,\\?\globalroot\systemroot\system32\1AS7chS.exe,C:\WINDOWS\system32\2b49027a.exe,C:\WINDOWS\system32\uwfkkb.exe,
O4 - Startup: wwwznv32.exe

Сами прокси писали?Если нет, то тоже строку пофиксите:

Код:

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 84.52.71.82:3128

Выполнить скрипт в авз:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\Program Files\Internet Explorer\setupapi.dll','');
 QuarantineFile('C:\WINDOWS\system32\2b49027a.exe','');
 QuarantineFile('C:\DOCUME~1\1E86~1\LOCALS~1\Temp\~TM1B6.tmp','');
 QuarantineFile('C:\WINDOWS\system32\drivers\vmfilter303.sys','');
 QuarantineFile('C:\WINDOWS\system32\Drivers\Bulk536.sys','');
 QuarantineFile('C:\WINDOWS\system32\Drivers\Ca536av.sys','');
 QuarantineFile('C:\WINDOWS\system32\uwfkkb.exe','');
QuarantineFile('C:\Documents and Settings\Михаил\Главное меню\Программы\Автозагрузка\wwwznv32.exe','');
 DeleteFile('C:\Documents and Settings\Михаил\Главное меню\Программы\Автозагрузка\wwwznv32.exe');
 DeleteFile('C:\WINDOWS\system32\uwfkkb.exe');
 DeleteFile('C:\DOCUME~1\1E86~1\LOCALS~1\Temp\~TM1B6.tmp');
 DeleteFile('C:\WINDOWS\system32\2b49027a.exe');
 DeleteFile('C:\Program Files\Internet Explorer\setupapi.dll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','explorer');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(20);
RebootWindows(true);
end.

После всех процедур выполните скрипт

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин quarantine.zip. Отправьте полученный файл quarantine.zip из папки AVZ через данную форму. В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus" (без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Результаты ответа, сообщите здесь, в теме.
Скачайте AVZ 4.34
Сделайте новые логи.
Скачайте RSIT или отсюда. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

[_Darwin_]

Вот все что вы просили:
Файлы прикреплены к сообщению.

Надеюсь это то, что нужно:

читать дальше »

Здравствуйте,

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит антивирус с последними обновлениями. Письмо будет передано на рассмотрение вирусному аналитику.

~TM1B6.tmp - Trojan-Ransom.Win32.PinkBlocker.bqx

В настоящий момент этот файл определяется антивирусом со свежими антивирусными базами.
Для разблокировки данной троянской программы Вы можете воспользоваться нашим сервисом:
http://support.kaspersky.ru/viruses/deblocker
http://support.kaspersky.ru/sms - с мобильных телефонов и коммуникаторов.

2b49027a.exe,
uwfkkb.exe - Backdoor.Win32.Shiz.gen

В настоящий момент эти файлы определяются антивирусом со свежими антивирусными базами.

mdnsNSP.dll,
wwwznv32.exe

Файлы в процессе обработки.

setupapi.dll - Trojan.Win32.BHO.aihr

Детектирование файла будет добавлено в следующее обновление.

С уважением, Лаборатория Касперского

123060, Россия, Москва, 1-й Волоколамский проезд дом 10, стр 1
Тел./факс: + 7 (495) 797 8700
http://www.kaspersky.ru http://www.viruslist.ru

[help?]

Выполните скрипт в авз:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteFile('C:\Program Files\Mozilla Firefox\setupapi.dll');
 DeleteFile('C:\Program Files\Opera\setupapi.dll');
 DeleteFile('C:\System Volume Information\_restore{80EB32C8-8F60-4E34-A4F3-014BFC4ADFD3}\RP2\A0002042.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.
Скачайте OTM by OldTimer или с зеркала и сохраните на рабочий стол.
Запустите OTM (в ОС Windows Vista необходимо запускать через правую кн. мыши от имени администратора)
временно выключите антивирус, firewall и другое защитное программное обеспечение. Выделите и скопируйте текст ниже (Ctrl+C)

Код:

:Processes
explorer.exe

:Services

:Files
C:\WINDOWS\system32\bmzgkdr.exe
C:\WINDOWS\system32\rnmpvmf.exe
C:\WINDOWS\system32\hqwoovl.exe
C:\WINDOWS\system32\d4dd44c2.exe
C:\WINDOWS\system32\xexbicl.exe
C:\WINDOWS\system32\ketdmrz.exe
C:\WINDOWS\system32\Ymfl9tV.exe
C:\WINDOWS\system32\gWmZA6w.exe
C:\Program Files\Common Files\keylog.txt
C:\WINDOWS\system32\4HUmnLe.exe

:Reg

:Commands
[purity]
[emptytemp]
[start explorer]
[Reboot]

В OTM под панелью "Paste Instructions for Items to be Moved" (под желтой панелью) вставьте скопированный текст и нажмите кнопку "MoveIt!".

Компьютер перезагрузится.

После перезагрузки запакуйте папку "C:\_OTM\MovedFiles", отправьте на Anti-Spyware2010atyandex.ru
с заменой at на @.Повторите логи.
Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - нажмите "Remove Selected" (удалить выделенные.... смотрите, что удаляете). Откройте лог и скопируйте в сообщение.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
Что с проблемами?

[help?]

Я добавил еще один файл в скрипт.Если выполняли старый еще такой скрипт в авз:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\4HUmnLe.exe','');
 DeleteFile('C:\WINDOWS\system32\4HUmnLe.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

И только после этого логи повторите.

[_Darwin_]

Проблемы не стало сразу после первого вашего поста.
Выполнил все что вы сказали.

mbam-log-2010-07-16 (18-35-09):

читать дальше »

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Database version: 4318

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

16.07.2010 18:35:09
mbam-log-2010-07-16 (18-35-09).txt

Scan type: Full scan (C:\|)
Objects scanned: 235714
Time elapsed: 29 minute(s), 54 second(s)

Memory Processes Infected: 0
Memory Modules Infected: 0
Registry Keys Infected: 0
Registry Values Infected: 3
Registry Data Items Infected: 0
Folders Infected: 0
Files Infected: 5

Memory Processes Infected:
(No malicious items detected)

Memory Modules Infected:
(No malicious items detected)

Registry Keys Infected:
(No malicious items detected)

Registry Values Infected:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_1 (Rootkit.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_2 (Rootkit.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_3 (Rootkit.Agent) -> Quarantined and deleted successfully.

Registry Data Items Infected:
(No malicious items detected)

Folders Infected:
(No malicious items detected)

Files Infected:
C:\Documents and Settings\Михаил\Рабочий стол\avz4\Quarantine\2010-07-15\avz00006.dta (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\Documents and Settings\Михаил\Рабочий стол\avz4\Quarantine\2010-07-15\bcqr00015.dta (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\Documents and Settings\Михаил\Рабочий стол\avz4\Quarantine\2010-07-15\bcqr00016.dta (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{80EB32C8-8F60-4E34-A4F3-014BFC4ADFD3}\RP2\A0002046.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\Documents and Settings\Михаил\Application Data\avdrn.dat (Malware.Trace) -> Quarantined and deleted successfully.

Логи приложены.

[help?]

Создадите новую контрольную точку восстановления и очистите заражённую:
1. Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно-Восстановление системы нажмите Очистить
2. Нажмите Пуск- Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать.+выполните скрипт в авз:
Логи RSIT новые приложите.
C:\WINDOWS\system32\drivers\vdk0mtqx.sys
Проверьте этот файл на www.virustotal.com и выложите ссылку на результаты.
Повторите логи. авз

[_Darwin_]

Вот:

C:\WINDOWS\system32\drivers\vdk0mtqx.sys:
http://www.virustotal.com/ru/analisi...4f6-1279290988

Логи прикреплены.

[help?]

Почистили точку восстановления системы?Повторите логи авз!

[_Darwin_]

Вот....
не обновляется авира и блокируются все сайты популярных антивирусов.