[Arbitr]

вам было сказано

Цитата Arbitr:

Выполните скрипт AVZ в безопасном режиме. »

Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\System32\drivers\dwshd.sys','');
DeleteFile('C:\Documents and Settings\ХОУМ\Главное меню\Программы\Автозагрузка\monoca32.exe');
DeleteFile('C:\e5ur8tz4.exe');
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
SetServiceStart('RDSessMgr', 4);
SetServiceStart('mnmsrvc', 4);
SetServiceStart('SSDPSRV', 4);
SetServiceStart('TermService', 4);
SetServiceStart('RemoteRegistry', 4);
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,3,true);
RebootWindows(true);
end.

После всех процедур выполните скрипт

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин quarantine.zip. Отправьте полученный файл quarantine.zip из папки AVZ через данную форму. В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus" (без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Результаты ответа, сообщите здесь, в теме.
RSIT и AVZ 3 станд скрипт повторите

так же пришел ли ответ по карантину??

[Varenov]

ответа по карантину не было, скрипт выполнял в безопасном режиме, логи собирал в нормальном. сейчас выполню - логи выложу.

з.ы. DeleteFile('C:\e5ur8tz4.exe'); == CureIt

з.з.ы. последний скрипт в безопасном режиме?

[Arbitr]

да в безопасном, курейт ок тогда удалите эту строку

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\System32\drivers\dwshd.sys','');
DeleteFile('C:\Documents and Settings\ХОУМ\Главное меню\Программы\Автозагрузка\monoca32.exe');
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
SetServiceStart('RDSessMgr', 4);
SetServiceStart('mnmsrvc', 4);
SetServiceStart('SSDPSRV', 4);
SetServiceStart('TermService', 4);
SetServiceStart('RemoteRegistry', 4);
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,3,true);
RebootWindows(true);
end.

и лог RSIT повторите после..глянем прибили моноку или нет, если нет будем ее через CF или Avenger

[Varenov]

моё субъективное мнение - физически монока прибита уже давно, ибо ни через эксплорер с отображением системных и скрытых не вижу, ни через тотал....
мне кажется что осталась просто запись в реестре
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^ХОУМ^Главное меню^Программы^Автозагрузка^monoca32.exe]
C:\Documents and Settings\ХОУМ\Главное меню\Программы\Автозагрузка\monoca32.exe []

логи ниже, система при загрузке обвеса (hp, avast и прочее) все равно безбожно тупит и грузит все энто несколько минут, да и при начальной загрузке успеваю выкурить сигарету а то и две).... окошко с ошибкой вылетающее в ИЕ исчезло. как то так

еще есть мысль что при начальной загрузке отупливать так систему могут лишь службы, соответсвенно запуститса в диагностическом без всех служб посмотреть на скорость. сейчас попробую убрать вообще весь обвес, а так же снести аваст к чертям вместе со всеми его службами, посмотр. что выйдет

[Arbitr]

да это запись в реестре просто

[Varenov]

я только загрузил интернеты на зараженной машинке как про комбофикс уже ничего))))) я медлителен =(

upd

аваст снесен, обвес убран кроме утилита видеокарточки (только вместе с дровами убирается), система все равно грузитса по полчаса... буду пробовать диагностический.

upd2

В диагностическом без изменений... запускает 3 службы, две из который диспетчер RPC и Локатор RPC... мне кажется или этого не должно быть в диагностическом?

[Varenov]

и еще есть некий файл drm.exe который тоже прописан в автозагрузке... так и не нашел к чему он относится

[Arbitr]

Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

Подробнее в "ComboFix. Руководство по применению."

[Varenov]

собсно

[Arbitr]

c:\documents and settings\ХОУМ\Application Data\Microsoft\Installer\{2517B7EA-6C03-4D86-A1B1-F3FE1C3BC03B}\ARPPRODUCTICON.exe
вам знакомо??

игры нево играете??

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.

Код:

KillAll::
File::
c:\documents and settings\NetworkService\Application Data\gqlidy.dat
c:\documents and settings\ХОУМ\Главное меню\Программы\Автозагрузка\monoca32.exe
c:\windows\pss\monoca32.exe

Driver::


Registry::
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:\Documents and Settings\ХОУМ\Главное меню\Программы\Автозагрузка\monoca32.exe]

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.

Скачайте Malwarebytes Anti-Malware, установите, обновите базы, выберите Perform Full Scan, нажмите Scan, после сканирования - Ok - Show Results (показать результаты) . Откройте лог и скопируйте в блокнот и выложите в сообщение.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

Цитата Varenov:

и еще есть некий файл drm.exe »

взломщик к играм Нево софт, если не играете то удалить