[komcomojika]

вот еще

[Katharsis]

1.Ваша система не обновляется, т к обновления для Windows SP2 больше не выпускаются! Вам необходимо установить Service Pack 3 (может потребоваться активация) Почему важно обновлять Windows и установленные в ней программы

2.Проверьте на virustotal.com:

Цитата:

c:\windows\Installer\126e84.msi

ссылки на результат запостите здесь

3.Вы используете прокси для подключения к интернету? Если нет, в логе сканирования Hijackthis отметьте:

Цитата:

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 91.210.104.104:80

нажмите "Fix checked"

4.Перед выполнением скрипта выгрузите антивирусное и защитное ПО.
AVZ, меню Файл - Выполнить скрипт - Скопировать ниже написанный скрипт-Нажать кнопку Запустить.

Код:

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 90000, false);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('c:\documents and settings\komcomojika\$$$.tmp','');
 QuarantineFile('c:\windows\Installer\126e84.msi','');
 QuarantineFile('C:\WINDOWS\system32\naumdf.dll','');
 QuarantineFile('C:\Program Files\Internet Explorer\naumdf.dll','');
 QuarantineFile('c:\documents and settings\komcomojika\Главное меню\Программы\Автозагрузка\igfxtray.exe','');
 QuarantineFile('c:\windows\pss\igfxtray.exe','');
 DeleteFile('c:\documents and settings\komcomojika\Главное меню\Программы\Автозагрузка\igfxtray.exe'); 
 DeleteFile('c:\windows\pss\igfxtray.exe');
 DeleteFile('c:\documents and settings\komcomojika\$$$.tmp'); 
 DeleteFile('C:\Program Files\Internet Explorer\naumdf.dll');
 DeleteFile('C:\WINDOWS\system32\naumdf.dll');
 RegKeyDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\chgtcngp');
 RegKeyDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\htmcolsm');
 RegKeyDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\qtqolic');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

после перезагрузки выполнить второй скрипт:

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин quarantine.zip. Отправьте полученный файл quarantine.zip из папки AVZ через данную форму. Укажите ссылку на тему и ник на форуме.

5. Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.

Код:

Driver::
chgtcngp
fgvfziy
htmcolsm
qtqolic
vrlyf
NetSvc::
vrlyf
chgtcngpqtqolic
htmcolsm
Registry::
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3578:TCP"=-
Reboot::

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe. Компьютер перезагрузится.

Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.

6.повторите логи avz и rsit

7. обновите:
adobe reader , Sun Java
а так же: Adobe Flash Player, QuickTime, надстройки браузеров

у вас drweb и макафи используются одновременно?

[komcomojika]

1. планирую скоро купить новый HDD,на него уж и поставлю новую ОС лицензионную наверное а с этой жалко расставаться-столько лет верой и правдой служит...привык уже
2.указанный файл не найден
3.выполнено
4.выполнено.файл отправлен.
5,6.7-макафи вроде как удален был давно.во всяком случае я его нигде не нашел.

[SolarSpark]

Цитата komcomojika:

а с этой жалко расставаться-столько лет верой и правдой служит...привык уже »

обновите сервиспак..ось не изменится

1.ставим эти заплатки в обязательном порядке
MS08-067
MS08-068
MS09-001

2.Установите пароль на учетную запись администратора, если пароль установлен, то убедитесь в его сложности (qwert или 1234 не есть сложный пароль)

3.В окно командной строки скопируйте и вставьте команду:

Код:

REG ADD HKLM\Software\Microsoft\Windows\CurrentVersion\policies\Explorer /v NoDriveTypeAutoRun /t REG_DWORD /d 221

Нажмите enter. Для подтверждения перезаписи нажмите Y.

4.Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.

Код:

KillAll::

File::
c:\documents and settings\komcomojika\Главное меню\Программы\Автозагрузка\igfxtray.exe
c:\windows\pss\igfxtray.exe
c:\windows\system32\naumdf.dll
Driver::
vrlyf
chgtcngpqtqolic
htmcolsm
nsbvxl
fgvfziy
NetSvc::
vrlyf
chgtcngpqtqolic
htmcolsm
nsbvxl
fgvfziy
Registry::
[-HKLM\~\startupfolder\C:^Documents and Settings^komcomojika^Главное меню^Программы^Автозагрузка^igfxtray.exe]
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3724:TCP"=-
"3578:TCP"=-
FileLook::

DirLook::
Reboot::

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.

5. Если вы точно не используете прокси для соединения с интернетом, зайдите в папку
c:\documents and settings\komcomojika\Application Data\Mozilla\Firefox\Profiles\tlwekjpx.default

найдите файл prefs.js, откройте его блокнотом найдите в нем эти строки и удалите:
FF - prefs.js: network.proxy.ftp - localhost
FF - prefs.js: network.proxy.ftp_port - 3128
FF - prefs.js: network.proxy.gopher - localhost
FF - prefs.js: network.proxy.gopher_port - 3128
FF - prefs.js: network.proxy.http - localhost
FF - prefs.js: network.proxy.http_port - 3128
FF - prefs.js: network.proxy.socks - localhost
FF - prefs.js: network.proxy.socks_port - 3128
FF - prefs.js: network.proxy.ssl - localhost
FF - prefs.js: network.proxy.ssl_port - 3128
FF - prefs.js: network.proxy.type - 4
В опциях браузера (настройки - дополнительно - сеть - "настроить") окно "параметры соединения" отметьте "без прокси".

6.Пофиксить в HijackThis следующие строчки:

Код:

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 91.210.104.104:80

7. Для зачистки некорректно удаленного антивируса воспользуйтесь утилитой из моего вложения

[komcomojika]

Спасибо большое за помощь! проблема устранена.

[Katharsis]

Цитата komcomojika:

проблема устранена. »

Никаких гарантий. Если не убедиться в чистоте, этот вирь ещё долго будет вас доставать.

Цитата SolarSpark:

Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению. »

+

Скачайте GMER по одной из указанных ссылок:
Gmer со случайным именем , Gmer в zip архиве. (перед применением распаковать в отдельную папку)
- Запустите программу (пользователям Vista запускать от имени Администратора по правой кнопке мыши).
Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No.
После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов:
Sections
IAT/EAT
Show all
Из всех дисков оставьте отмеченным только системный диск (обычно C:\)
- Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.
После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.

[komcomojika]

лог комбо

[komcomojika]

log gmer

[SolarSpark]

komcomojika, Сохраните приведённый ниже текст в файл cleanup.bat в ту же папку, где находится 4gxkf6dz.exe случайное имя утилиты (gmer)

Код:

4gxkf6dz.exe -del service nsbvxl
4gxkf6dz.exe -del file "C:\WINDOWS\system32\naumdf.dll"
4gxkf6dz.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\nsbvxl"
4gxkf6dz.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\nsbvxl"
4gxkf6dz.exe -reboot

И запустите сохранённый пакетный файл cleanup.bat.
Внимание: Компьютер перезагрузится!
Сделайте новый лог gmer.