[goredey]

juvecrash, скачайте отсюда .Распакуйте.Запускать ярлык 11.ехе!

[juvecrash]

Попробовал, на этот раз AVZ проработал немного дольше, я даже успел нажать на меню Файл, однако затем вылетел Explorer, а за ним и сам AVZ оставив мне пустой рабочий стол...

После перезапуска Explorer'a пробовал несколько раз снова запускать AVZ и он опять запускается на долю секунды, иногда Explorer снова вылетал

Ух ты... попробовал запустить опять, Explorer вылетел, но AVZ работает, правда я с разгона поставил сразу выполнять Стандартные скрипты № 3 без обновления AVZ... боюсь пошевелить мышкой

[goredey]

Цитата juvecrash:

правда я с разгона поставил сразу выполнять Стандартные скрипты № 3 без обновления AVZ... боюсь пошевелить мышкой »

Ничего не бойтесь)) Будем ждать!

[juvecrash]

Готово вот логи

[goredey]

juvecrash, AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('c:\windows\system32\jdksqup.exe','');
 DeleteFile('c:\windows\system32\jdksqup.exe');
 RegKeyStrParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'UserInit', GetEnvironmentVariable('WinDir')+'\system32\userinit.exe,');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteRepair(16);
 ExecuteRepair(20);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин quarantine.zip. Полученный архив отправьте по этой форме

Обновите базы и повторите логи АВЗ
+
Скачайте RSIT или отсюда. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

[juvecrash]

Все выполнил... NOD32 обновился, сайты антивирусов теперь тоже доступны, огромное спасибо...


Пару вопросов:

После перезагрузки системы по завершению первого скрипта в сетевых подключениях появилось 1394-соединение
и собственно в диспетчере устройств появился Сетевой адаптер 1394... Его можно удалять?

Так же после того как провел выполнение стандартных скриптов в AVZ при перезагрузки компьютера Windows начинает грузится то со 2-ого, то с 3-ого раза
(то есть появляется надпись Loading Operation System и компьютер снова перегружается, на 2-й или 3-й раз Windows грузится).
Загружается система, я сразу пробую её перегрузить и снова Windows запускается не с первого раза... это как то связано с лечением или просто совпало?


Карантин отправил

вот новые логи

[goredey]

juvecrash, это ваш провайдер ZAO Electro-Com Kaluga ?

Установите Internet Explorer 8 даже если не пользуетесь!
Обновите продукцию компании ADOBE.

ComboFix запускали?Если да то удалите


Деинсталлируйте ComboFix:нажмите Пуск => Выполнить в окне наберите команду Combofix /Uninstall, нажмите кнопку "ОК"



Скачайте OTCleanIt или с зеркала, запустите, нажмите Clean up

Цитата juvecrash:

После перезагрузки системы по завершению первого скрипта в сетевых подключениях появилось 1394-соединение и собственно в диспетчере устройств появился Сетевой адаптер 1394. »

Прочите
здесь

Цитата juvecrash:

Загружается система, я сразу пробую её перегрузить и снова Windows запускается не с первого раза. »

Проделайте следующее

1.проверка дисков. пуск - выплонить - вбить
Цитата:
chkdsk /f /r
нажать enter
2. проверка целостности системных файлов. Вставить диск с дистрибутивом.
пуск - выплонить - вбить
Цитата:
sfc.exe /scannow
нажать enter


Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) . Откройте лог и скопируйте в сообщение.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

[juvecrash]

Да ЗАО "Электро-ком Калуга" мой провайдер

Internet Explorer 8 установил, из ADOBE у меня Reader (пишет что в обновлении не нуждается) и старенькие Photoshop с ImageReady (но они крякнуты и не обновляются)

ComboFix пробовал запускать когда не обновлялись базы антивируса, но он так и не запустился, поэтому удалять нечего

OTCleanIt выполнил

По поводу Сетевого адаптера 1394 понятно, просто его раньше не было, я думал что его появление связано с лечением...

По поводу перезагрузки - сегодня когда включал компьютер Windows загрузился с первого раза, и в процессе установки Internet Explorer'a 8 и работы OTCleanIt'а компьютер перегружался и Windows грузился с первого раза, поэтому рекомендованные команды не выполнял.. или все таки стоит?

Вот лог из Malwarebytes' Anti-Malware:

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Версия базы данных: 5775

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

16.02.2011 22:40:57
mbam-log-2011-02-16 (22-40-50).txt

Тип сканирования: Полное сканирование (C:\|D:\|)
Просканированные объекты: 303650
Времени прошло: 28 минут, 5 секунд

Заражённые процессы в памяти: 0
Заражённые модули в памяти: 0
Заражённые ключи в реестре: 0
Заражённые параметры в реестре: 0
Объекты реестра заражены: 3
Заражённые папки: 0
Заражённые файлы: 8

Заражённые процессы в памяти:
(Вредоносных программ не обнаружено)

Заражённые модули в памяти:
(Вредоносных программ не обнаружено)

Заражённые ключи в реестре:
(Вредоносных программ не обнаружено)

Заражённые параметры в реестре:
(Вредоносных программ не обнаружено)

Объекты реестра заражены:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.

Заражённые папки:
(Вредоносных программ не обнаружено)

Заражённые файлы:
c:\program files\WinRAR\Unipatch.exe (RiskWare.Tool.CK) -> No action taken.
d:\Games\medal of honor\Binaries\loader.dll (Riskware.Tool.CK) -> No action taken.
d:\My Doc\Drivers\Soft\adobe photoshop 9.0 cs2 rus\keygen.exe (Trojan.Agent.CK) -> No action taken.
d:\My Doc\Drivers\Soft\cad systems\autocad 2006\Keymaker.exe (Malware.Gen) -> No action taken.
d:\My Doc\Drivers\Soft\cad systems\autocad 2008\Keygen\autocad-2008-keygen.exe (RiskWare.Tool.CK) -> No action taken.
d:\My Doc\Drivers\Soft\cd-rw soft\Nero 7\nero 7.0.8.2\keygen.exe (RiskWare.Tool.CK) -> No action taken.
d:\My Doc\Drivers\Soft\microsoft office\microsoft office visio professional 2007 rus\msa2007kg.exe (Hacktool.Agent) -> No action taken.
d:\My Doc\Drivers\Soft\FlashGet\crack.exe (Malware.Packer.Gen) -> No action taken.

[goredey]

Цитата juvecrash:

По поводу перезагрузки - сегодня когда включал компьютер Windows загрузился с первого раза, и в процессе установки Internet Explorer'a 8 и работы OTCleanIt'а компьютер перегружался и Windows грузился с первого раза, поэтому рекомендованные команды не выполнял.. или все таки стоит »

Я советую выполнить.Так как вы постоянно перезагружали могли возникнуть ошибки.

Найденные в МВАМ кейгены и кряки, удалять или нет решать вам.
Если проблем больше нет, то можно закончить лечение.


Создайте новую контрольную точку восстановления и удалите зараженную:
1. Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно - Восстановление системы нажмите Очистить
2. Нажмите Пуск- Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать.

Скачайте ATF Cleaner , запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
если вы используете Firefox, нажмите Firefox - Select All - Empty Selected
нажмите No, если вы хотите оставить ваши сохраненные пароли
если вы используете Opera, нажмите Opera - Select All - Empty Selected
нажмите No, если вы хотите оставить ваши сохраненные пароли.

Для предотвращения заражения рекомендую вам придерживаться этих правил:
1.Всегда работайте только под обычным пользователем!
2.Используйте браузер Firefox с дополнением NoScript
Если вы используете браузер Internet Explorer, отключите в нем ActiveX (Сервис -> свойства обозревателя -> безопасность -> другой -> запуск элементов ActiveX и модулей подключения
3.Устанавливайте обновления и патчи Windows.
4.Ежедневно обновляйте антивирусные базы.
5.Никогда не устанавливайте два антивируса или сетевых экрана (файрвол).