[drovosek]

на счет курита понял что обязательно загружаться с него отделатьно из другой темы.

[Katharsis]

Цитата drovosek:

результаты проверки с лечением от avz: »

Это не пойдёт. Запустите avz меню файл - стандартные скрипты . выполните стандартный скрипт 2, лог virusinfo_syscheck.zip выложите сюда. подготовьте логи RSIT (инструкция в правилах).

[drovosek]

Выполнил.

[Katharsis]

ок, и ещё

Скачайте RSIT или c зеркала. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

[drovosek]

Katharsis, спасибо что помогаете))

[Katharsis]

Если есть возможность у вас подождать ответа по новым логам до завтра - подождите, если нет - запакуйте в 1 архив и на любой файлообменник. У меня технически нет возможности скачать их отсюда.

[drovosek]

Я подожду до завтра) Есть вопрос. Мне сказали записать курит на диск. Но как его записать с помощью неро на диск? Он ведь экзешник, и когда я его кидаю в проекте "boot" то мне выдает ошибку при записи.

[Katharsis]

Сureit можно записать как обычный проект, не загрузочный. Загрузочный это iso drweb livecd. Запишите обычный и запустите с диска на ночь в безопасном режиме.

[SolarSpark]

drovosek, доброе утро, как самочувствие?
Александр вчера вел вас до победного конца

Смело удаляйте все, что нашла МВАМ.

Если не удалили еще, пришлите, пожалуйста, карантин вчерашний мне на мыло

Код:

sfera279@rambler.ru

хочу посмотреть, что это был за зловред
от Каспера долго ждать результата

и сюда

quarantine<at>virusnet.info (at=@) с указанной ссылкой на тему и вашим ником(именем на форуме). , в названии темы укажите - "Проверка карантина". В теле сообщения укажите адрес своей темы и ник форуме. Результаты ответа, сообщите здесь, в теме.

Пофиксить в HijackThis следующие строчки:

Код:

O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file)
O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)

Далее, не вижу оного более в системе, остались только зараженный трояном контрольные точки, избавляемся от них

Отключите:
Антивирус/Файерволл

AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.

Код:

procedure ClearSystemRestore;
var
  Script: TStringList;
  winName: string;
begin
  if IsNT then
    begin
      winName := UpperCase(RegKeyStrParamRead('HKLM', 'Software\Microsoft\Windows NT\CurrentVersion', 'ProductName'));
      case (Pos('WINDOWS VISTA', winName) > 0) or (Pos('WINDOWS 7', winName) > 0) of
        True:
          begin
            ExecuteFile('wmic', 'shadowcopy delete', 0, 60000, False);
            ExecuteFile('wmic', '/Namespace:\\root\default Path SystemRestore Call CreateRestorePoint "PointSafeZone", 100, 12', 0, 60000, False);
          end;
        False:
          begin
            Script := TStringList.Create;
            Script.Add(
              'Set objSR = GetObject("winmgmts:\\.\root\default:SystemRestore")' + #13#10 +
              'dResult = objSR.Disable("")' + #13#10 +
              'WScript.Sleep 5000' + #13#10 +
              'eResult = objSR.Enable("")' + #13#10 +
              'WScript.Sleep 5000' + #13#10 +
              'Set wshEnv = CreateObject("WScript.Shell").Environment("Process")' + #13#10 +
              'sysDrive = wshEnv("SYSTEMDRIVE")' + #13#10 +
              'Set objWMI = GetObject("winmgmts:{impersonationLevel=impersonate}!\\.\root\cimv2")' + #13#10 +
              'For Each objDisk In objWMI.ExecQuery("Select DeviceID From Win32_LogicalDisk Where DriveType = 3")' + #13#10 +
              'If objDisk.DeviceID <> sysDrive Then objSR.Disable objDisk.DeviceID & "\"' + #13#10 +
              'Next');
            Script.SaveToFile('ClearSR.vbs');
            ExecuteFile('wscript.exe', 'ClearSR.vbs', 0, 60000, True);
            DeleteFile('ClearSR.vbs');
            ClearLog;
            Script.Free;
          end;
      end;
    end;
end;

begin
  ClearSystemRestore;
end.

или так

Создайте новую контрольную точку восстановления и очистите предыдущие:
1. Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно-Восстановление системы нажмите Очистить
2. Нажмите Пуск- Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать.
Очистите временные файлы через Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner

1. скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
2. если вы используете Firefox, нажмите Firefox - Select All - Empty Selected
3. нажмите No, если вы хотите оставить ваши сохраненные пароли
4. если вы используете Opera, нажмите Opera - Select All - Empty Selected
5. нажмите No, если вы хотите оставить ваши сохраненные пароли

Обновляем:
Internet Explorer до IE8 для вашей безопасности, даже, если им не пользуетесь.
продукты Adobe
Следим за своевременным обновлением Java

[drovosek]

Куритом еще не проверился((
_________________________________
SolarSpark, Здравствуйте))

Цитата SolarSpark:

хочу посмотреть, что это был за зловред »

отправил, не забудьте только пожалуйста мне рассказать

Цитата SolarSpark:

quarantine<at>virusnet.info (at=@) с указанной ссылкой на тему и вашим ником(именем на форуме). , в названии темы укажите - "Проверка карантина". В теле сообщения укажите адрес своей темы и ник форуме. Результаты ответа, сообщите здесь, в теме. »

не нашел куда((

Цитата SolarSpark:

Пофиксить в HijackThis следующие строчки: »

Профиксил. Но когда нажал фиксить, он выдал ошибку, как я полнял из-за того, что у меня был открыт проводник и опера. Я хотел профиксить еще раз, но этих строк уже не было. Выкладываю еще раз лог, который вышел.

Цитата SolarSpark:

AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить. »

к сожалению при запуске, мне выдало ошибку. Ругался на begin в 19 строчке вроде. И я стал делать вторым способом.

Цитата SolarSpark:

2. Нажмите Пуск- Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать. Очистите временные файлы через Пуск-Программы-Стандартные-Служебные-Очистка диска »

это я сделал, но решил очистить еще

Цитата SolarSpark:

с помощью ATF Cleaner »

во-первых

Цитата SolarSpark:

поставьте галочку напротив Select All »

вместо этого была черная полоса просто (мб вирус постарался). Выбрав все пункты я

Цитата SolarSpark:

нажмите Empty Selected »

но мне выдало ошибку

Код:

Done cleaning!! ATF cleaner has freed 882,293 MBs