[SolarSpark]

Отключите:
Антивирус/Файерволл

AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.

Код:

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\drivers\zwtpwgcwlbgwk9.sys','');
QuarantineFile('C:\Documents and Settings\illusionmgs\Application Data\avdrn.dat','');
QuarantineFile('C:\Documents and Settings\illusionmgs\Application Data\fvgqad.dat','');
QuarantineFile('C:\WINDOWS\system32\config\systemprofile\Application Data\fvgqad.dat','');
 DeleteFile('C:\WINDOWS\system32\drivers\zwtpwgcwlbgwk9.sys');
 DeleteFile('C:\Documents and Settings\illusionmgs\Application Data\avdrn.dat');
 DeleteFile('C:\Documents and Settings\illusionmgs\Application Data\fvgqad.dat');
 DeleteFile('C:\WINDOWS\system32\config\systemprofile\Application Data\fvgqad.dat');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('zwtpwgcwlbgwk9');
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится!

После перезагрузки выполните такой скрипт:

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин.Отправьте quarantine.zip при помощи этой формы. В теле письма укажите свой ник на форуме и ссылку на тему

Пофиксить в HijackThis следующие строчки:

Код:

R3 - URLSearchHook: (no name) -  - (no file)
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe
O2 - BHO: (no name) - {9961627E-4059-41B4-8E0E-A7D6B3854ADF} - (no file)
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:52283

повторите RSIT и отпишитесь о самочувствии

[SolarSpark]

если вы успели выполнить скрипт из удаленного поста, примените вслед за ним скрипт из поста 21 и далее все, как я там расписала

[illusionmgs]

всё сделал

F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe

не убивается


http://cyber-safety.info/publ/userinit_exe/15-1-0-36 точно это мусор -червь?

лог прикрепил RSIT


также раздражает процесс RICHVIDEO.EXE и NVSVC.EXE -которые всегда запускаются при включении пк..даже если отрубить их в MSCONFIG

[Drongo]

Цитата illusionmgs:

также раздражает процесс RICHVIDEO.EXE и NVSVC.EXE -которые всегда запускаются при включении пк..даже если отрубить их в MSCONFIG »

Это службы, их нужно останавливать, знаете где это? ПКМ по мой компьютер - Управление - Службы - ПКМ по службе - тип запуска отключено, кнопка Стоп. Или выставить тип запуска вручную, если будут проблемы с отключеными

Код:

R2 RichVideo;Cyberlink RichVideo Service(CRVS); C:\Program Files\CyberLink\Shared files\RichVideo.exe [2010-08-19 247152]
R2 nvsvc;NVIDIA Display Driver Service; C:\WINDOWS\system32\nvsvc32.exe [2011-01-07 156776]

Цитата illusionmgs:

точно это мусор -червь? »

Нет, файл легелен, просто запись в нестандартном месте.

Цитата SolarSpark:

и отпишитесь о самочувствии »

А кроме описаных моментов проблем больше нет?

[illusionmgs]

Цитата Drongo:

Это службы, их нужно останавливать, знаете где это? ПКМ по мой компьютер - Управление - Службы - ПКМ по службе - тип запуска отключено, кнопка Стоп. Или выставить тип запуска вручную, если будут проблемы с отключеными Код: »

да, в службах вроде нашел и остановил всё - спасибо, помогли

Цитата Drongo:

Нет, файл легелен, просто запись в нестандартном месте. »

если файл в нестандартном месте C:\WINDOWS\System32\userinit.exe

что с ним делать?

Цитата Drongo:

А кроме описаных моментов проблем больше нет? »

знаете, пока не ломанули два номера icq - особых проблем не наблюдалось - вроде слежу за компьютером
сегодня не пожалел, купил лицензию к программе Malwarebytes - приглянулась программка

сейчас на пк стоит

а) Outpost security suite pro последней версии -лицензионная
б) DR web 6.05 - лицензионная
в) Malwarebytes лицензионная

что еще посоветуете -чтобы максимально обезопасить от проникновения?

[Drongo]

Цитата illusionmgs:

если файл в нестандартном месте C:\WINDOWS\System32\userinit.exe что с ним делать? »

Ничего не делать, он в стандартном для него месте.

Цитата illusionmgs:

а) Outpost security suite pro последней версии -лицензионная б) DR web 6.05 - лицензионная в) Malwarebytes лицензионная »

Лучше что-то одно чтобы стояло, а вторым для страховки сканировать раз в неделю.

Цитата illusionmgs:

что еще посоветуете -чтобы максимально обезопасить от проникновения? »

Я бы раз в недельку примерно месяц подстраховался сканированием CureIt!

[illusionmgs]

дык зачем курейт -если др веб и так стоит?)))

а в оутпосте много полезных функций -которых нет в др веб и в malware))

и вроде всё гармонирует друг с другом)

[SolarSpark]

Выполнитерекомендации после лечения

обратите внимание на пересоздание контрольной точки восстановления, старые необходимо удалить-они у вас заражены

[illusionmgs]

огромное спасибо за помощь!