[Sandor]

Здравствуйте!

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:

begin
 QuarantineFileF('C:\ProgramData\DP45977C.lfl','*', true,'',0 ,0);
 ExecuteRepair(9);
 ExecuteWizard('SCU', 2, 3, true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(false);
end.

Компьютер перезагрузится. После перезагрузки полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:

1. Запустите AVZ.
2. Выполните обновление баз (Меню Файл - Обновление баз)
3. Закройте все приложения, и запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины)
4. В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт № 8 ("VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
5. Закачайте полученный архив, как описано на этой странице.
6. Если размер архива превышает 100 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: RGhost, Zalil, UkrShara или WebFile) и укажите ссылку на скачивание в своём следующем сообщении.

[hurtavy]

Цитата:

QuarantineFileF('C:\ProgramData\DP45977C.lfl','*', true,'',0 ,0);

Получается файл размером 0 байт
Кстати, uvs в этой папке находит файловый поток

[regist]

Скачайте отсюда uVS и сделайте лог автозапуска.

+

• Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
• Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
• Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.


+ базу безопасных пополнили?

[hurtavy]

Заморозил taskeng.exe {...} и удалил лишний файл и поток в ProgramData. После этого файл перестал создаваться. Но задача все равно запускается. Если её прибить, то перезапускается с другим кодом.
Sandor, АВЗ обновил, просканировал, отправил virusinfo_auto_GVG_HOME.zip

regist, AdwCleaner ничего не находит. Так и надо? uVS лог приложил. В некоторых папках нашёл msimg32.dll (скрытый системный только для чтения) - судя по всему оно.

[regist]

1) Прекратите заниматься самолечением! Трудно лечить, когда видишь искажённую картину.

2) Удалите в AdwCleaner всё кроме папок от mail.ru и AlawarWrapper - если программами от mail.ru и Alawar не пользуетесь, то их тоже удалите.

Подробнее читайте в этом руководстве.


3) О каком задание речь? В чём сейчас проблема выражается?

Цитата hurtavy:

В некоторых папках нашёл msimg32.dll (скрытый системный только для чтения) - судя по всему оно. »

это системный файл... так самостоятельно долечитесь, что систему нужно будет переставлять .
Выбирайте либо лечитесь на форуме, либо пытаетесь лечить самостоятельно. Совмещать оба вместе не надо.

[hurtavy]

1) Понял. Больше не буду.

2) Как я понял из лога, он мне удалит только GameCenter от mail.ru (нужен для запуска архейдж) и пару ключей в настройках аддона файерфокса (всё равно они создадутся при запуске). Это точно необходимый шаг?

3) Сейчас проблема выражается в запуске процесса

Код:

taskeng.exe {75EC4516-30D4-4F8D-BEFE-3DCE18A04B2B}

Код может быть разный. При уничтожении процесса он перезапускается с другим кодом.
Ну и msimg32.dll - системные находятся в system32, а эти - в папках двух программ. Я их удалял при перезагрузке, они создались уже в других папках. Собственно они есть в логах uVS (на системные он не ругнулся).

[regist]

1) Чуть ошибся с шаблоном поправил.

Цитата hurtavy:

пару ключей в настройках аддона файерфокса (всё равно они создадутся при запуске). »

эти ключи созданы адварью - Surf Canyon, самой адвари у вас не видно, а эти настройки от неё остались. Так что после очистки они уже не должны заново создать.
2)

Цитата hurtavy:

Ну и msimg32.dll - системные находятся в system32, а эти - в папках двух программ. Я их удалял при перезагрузке, они создались уже в других папках. Собственно они есть в логах uVS (на системные он не ругнулся) »

Как понимаю вы имеете ввиду

Код:

C:\PROGRAM FILES (X86)\DAEMON TOOLS PRO\MSIMG32.DLL
C:\PROGRAM FILES (X86)\ZENTIMO\MSIMG32.DLL

Это также легальные .dll

3) По планировщику... скачайте autoruns. Поставьте в настройки - настройки фильтров - скрывать элементы от майкрософт - перейдите на вкладку - Запланированные задачи и посмотрите. Скорее всего этой задачи после такой настройки вы там не увидите, так как она системная.

[hurtavy]

1) Удалил ключи.

2) Смутили атрибуты этих файлов - rhs. Удалил их. Вроде всё работает.

3) Угу, не нахожу таких задач. Тогда откуда они берутся? В ProcessExplorer их вижу. Код разный.

[hurtavy]

В общем, пока кроме этой задачи ничего подозрительного не наблюдаю, но... Поставил винду на виртуальную машину и скопировал туда несколько программ. После их запуска появился файл c:\ProgramData\DP45977C.lfl