[решено] Лечение системы ПК.

icotonev · Отправлено: **19:20, 24-06-2010** | #2

Добрый вечер!

Пофиксить в HijackThis следующие строчки:

Код:

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,\\?\globalroot\systemroot\system32\Qf9Z0IH.exe,\\?\globalroot\systemroot\system32\BRxMbqz.exe,\\?\globalroot\systemroot\system32\FtLZ8J7.exe,

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('\\?\globalroot\systemroot\system32\ftlz8j7.exe','');
 QuarantineFile('\\?\globalroot\systemroot\system32\qf9z0ih.exe','');
 DeleteFile('\\?\globalroot\systemroot\system32\ftlz8j7.exe');
 DeleteFile('\\?\globalroot\systemroot\system32\qf9z0ih.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteRepair(20);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.
После перезагрузки выполнить второй скрипт:

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine .zip');
end.

В результате выполнения скрипта будет сформирован карантин quarantine.zip. Отправьте полученный файл quarantine.zip из папки AVZ через данную форму. В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus" (без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Полученный ответ сообщите здесь.

Обновите базы , повторите логи

+

Скачайте RSIT или отсюда. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

+

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - нажмите "Remove Selected" (удалить выделенные.... смотрите, что удаляете). Откройте лог и скопируйте в сообщение.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

Игареха · Отправлено: **20:31, 24-06-2010** | #3

Спасибо все работает!!! Жду ответа на запрос, позже вложу, это логи после всех действий.

icotonev · Отправлено: **20:41, 24-06-2010** | #4

Лог log.txt нет(RSIT)....Мне требуется..!!!

Игареха · Отправлено: **20:52, 24-06-2010** | #5

После запуска вижу только блокнот, извиняюсь конечно! За незнание!!! Если можно поконкретнее.

icotonev · Отправлено: **20:58, 24-06-2010** | #6

Скачайте RSIT или отсюда. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

Игареха · Отправлено: **21:20, 24-06-2010** | #7

Разобрался!

icotonev · Отправлено: **22:09, 24-06-2010** | #8

Пофиксить в HijackThis следующие строчки:

Код:

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,\\?\globalroot\systemroot\system32\Qf9Z0IH.exe,\\?\globalroot\systemroot\system32\BRxMbqz.exe,\\?\globalroot\systemroot\system32\FtLZ8J7.exe,

Скачайте OTM by OldTimer или с зеркала и сохраните на рабочий стол.
Запустите OTM (в ОС Windows Vista необходимо запускать через правую кн. мыши от имени администратора)
временно выключите антивирус, firewall и другое защитное программное обеспечение. Выделите и скопируйте текст ниже (Ctrl+C)

Код:

:Processes
explorer.exe

:Services

:Files
C:\WINDOWS\system32\YmI9mKg.exe
C:\WINDOWS\system32\2m3Hrms.exe
C:\WINDOWS\system32\IN1MR3l.exe
C:\WINDOWS\system32\2M2UBhR.exe
C:\WINDOWS\system32\6dQmBBc.exe
C:\WINDOWS\system32\sYWyqQg.exe
C:\WINDOWS\system32\2TO61Vl.exe
C:\WINDOWS\system32\0J1UbTw.exe



:Reg

:Commands
[purity]
[emptytemp]
[start explorer]
[Reboot]

В OTM под панелью "Paste Instructions for Items to be Moved" (под желтой панелью) вставьте скопированный текст и нажмите кнопку "MoveIt!".

Компьютер перезагрузится.

После перезагрузки откройте папку "C:\_OTM\MovedFiles", найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение.

Повторите логи АВЗ + RSIT...!Что с проблемами?

Игареха · Отправлено: **22:19, 24-06-2010** | #9

У меня открылся доступ к сайтам и обновление пошло, Спасибо!!! У меня еще видны какие-то проблемы? Кстати вот лог после сканирования Malwarebytes' Anti-Malware. Я ни чего не стал удалять, просто побоялся, что посоветуете???

icotonev · Отправлено: **22:31, 24-06-2010** | #10

Удалить следующие:

Код:

Зараженные ключи в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{2891bc5c0-4fcb-11cf-aax5-81ex1f635612} (Backdoor.IRCBot) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\flv direct player (Adware.BHO.FL) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\AppDataLow\HavingFunOnline (Adware.BHO.FL) -> No action taken.

Зараженные параметры в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_1 (Rootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_2 (Rootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_3 (Rootkit.Agent) -> No action taken.

Зараженные папки:
C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013 (Trojan.Agent) -> No action taken.

Зараженные файлы:
C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\Desktop.ini (Trojan.Agent) -> No action taken.
C:\Program Files\Common Files\keylog.txt (Malware.Trace) -> No action taken.