Вирус не дает сделать логи, как написано в закрепленке.
 

Во-первых, при скачке avz с вашего сайта он не разрешил закачку. Когда я скачал с зеркала, и засунул в папку, чтобы распоковать архив с avz, сам закрывался, и я не мог извлечь файл, теперь при наведении курсора на папку, где лежит архив с avz, выкидывает на рабочий стол. Тоже самое и с HiJackThis. Как сделать логи тогда? Вирус очень умный видать.

скачайте Dr.Web LiveCD, запишите на болванку, загрузитесь с нее и просканируйтесь. После этого ещё раз попробуйте подготовить логи

вирус не дает скачать((

качать нужно на "здоровом" ПК

Скачайте полиморфный АВЗ из моей подписи.

Скачал. Записал. Запустил графический режим. Нажал "сканировать". И вот такой экран уже 10 часов http://upwap.ru/1468123
Не стал вырубать, так как иногда встречал знакомые слова. Например Hitman, а у меня игра такая есть. Он сканирует или это бред. Просто я видел видео, и он там не так проверял(там графически все было). Возможно это из-за того что у меня две системы? (xp and debian).
тоесть вирус его не распознает? а как быть с HijackThis?

нет, дебиан ни при чём здесь.

Полный путь к avz приведите сюда пожалуйста (брать из адресной строки папки).
выглядеть это должно примерно так:

Katharsis,
а что тут? он сканирует вообще? Ща пришел, еще сканирует. Уже 18 часов получается. Перезагружать комп или ждать?
не очень понял для чего это нужно, тем более, если я не разобрался еще с livecd.
По вопросу: avz лежал D:\Программы\(еще одна папка с рус названием)\avz\avz.rar
Но папку avz и (еще одну папку с рус названием) я открыть уже не смогу, и тем более не смогу открыть архив.

дождитесь окончания.
как drweb закончит, скачайте svchost.pif по данной ссылке, там единственный файл, его не нужно распаковывать, сохраните его на рабочем столе.

1.скопировать этот текст в блокнот:
Открыть меню файл - "сохранить как", в поле "имя файла" вставьте: C:\script.txt

2.скопировать в блокнот, сохранить на рабочем столе под любым именем с расширением .vbs После сохранения запустите двойным кликом. Должен выгрузиться проводник (исчезнет рабочий стол) и запуститься на выполнение скрипт avz script.txt. После окончания компьютер перезагрузится.

после сканирования будет создан архив KL_syscure.zip с логами, его нужно будет выложить сюда

Katharsis, проверялся у меня dr.web 30 часов, а потом раз и электрическтво отрубили((( второй раз не стал сканировать.
Все сделал как вы сказали. Но по какой то непонятной причине, при запуске исполняемого файла *.vbs с рабочего стола, мне выдает ошибку.
хотя все файлы на месте.
svchost.pif на рабочем столе. script.txt на диске С.
Может вирус мешает?

не находит svchost.pif значит.

Переложите svchost.pif на C:\

*.vbs поправьте:

попробЫвал указать полный путь к первому файлу, но таже ошибка
ой не заметил, ща попробую

Прикрепил. Если по теме: медленно сайты загружаются. А Youtube вообще не грузится. Это я к тому, что когда он сканировал, писал что не нашел ничего. Нашел только изменение статических маршрутов для сайтов.

давайте лечиться :)

Отключите:
Антивирус/Файерволл

AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.


После выполнения скрипта компьютер перезагрузится!

После перезагрузки выполните такой скрипт:

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".

В результате выполнения скрипта будет сформирован карантин.Отправьте c:\quarantine.zip при помощи этой формы
В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus" (без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Результаты ответа, сообщите здесь, в теме.

Сделайте повторные логи AVZ (скачайте свежую версию и обновите базы) + RSIR

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. http://data.mbamupdates.com/tools/mbam-rules.exe Загрузить обновление MBAM

SolarSpark, большое спасибо за подробный ответ. Но половину из того что вы мне сказали, мне не дает сделать вирус. Как мне установить avz, если вирус не дает? Как мне зайти на сайт касперского, если вирус не дает?

Malwarebytes' Anti-Malware тоже не дает установить, только я наведу курсор на инсталятор, сразу выкидывает, с закрытием всех окон.

поняла) делаем этот скрипт по методу Katharsisа

скопировать этот текст в блокнот:

Открыть меню файл - "сохранить как", в поле "имя файла" вставьте: C:\script.txt

2.скопировать в блокнот, сохранить на рабочем столе под любым именем с расширением .vbs После сохранения запустите двойным кликом. Должен выгрузиться проводник (исчезнет рабочий стол) и запуститься на выполнение скрипт avz script.txt. После окончания компьютер перезагрузится.

Код:
а потом по схеме :)

второй скрипт вы должны смочь выполнить обычным запуском avz

Скачайте CureIT на здоровом компе запишите на диск (или на флэшку но с защитой от записи)- запустите комп в безопасном режиме и запустите проверку CureIT.

SolarSpark, большое спасибо, после выполнения скрипта, сайты стали норм открываться, и приложения антивирусные могу запускать. Карантин отправил касперлаб, только думаю долго ждать ответа. Прогнал быструю проверку мбам. Нашел много чего интересного. (Прикрпил отчет).
Ща обновлю авз и просканирую. Потом куритом. Обязательно загружаться с него? Нельзя из винды провериться?

результаты проверки с лечением от avz:

на счет курита понял что обязательно загружаться с него отделатьно из другой темы.

Это не пойдёт. Запустите avz меню файл - стандартные скрипты . выполните стандартный скрипт 2, лог virusinfo_syscheck.zip выложите сюда. подготовьте логи RSIT (инструкция в правилах).

Выполнил.

ок, и ещё

Скачайте RSIT или c зеркала. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

Katharsis, спасибо что помогаете))

Если есть возможность у вас подождать ответа по новым логам до завтра - подождите, если нет - запакуйте в 1 архив и на любой файлообменник. У меня технически нет возможности скачать их отсюда.

Я подожду до завтра) Есть вопрос. Мне сказали записать курит на диск. Но как его записать с помощью неро на диск? Он ведь экзешник, и когда я его кидаю в проекте "boot" то мне выдает ошибку при записи.

Сureit можно записать как обычный проект, не загрузочный. Загрузочный это iso drweb livecd. Запишите обычный и запустите с диска на ночь в безопасном режиме.

drovosek, доброе утро, как самочувствие?
Александр вчера вел вас до победного конца:)

Смело удаляйте все, что нашла МВАМ.

Если не удалили еще, пришлите, пожалуйста, карантин вчерашний мне на мыло хочу посмотреть, что это был за зловред :)
от Каспера долго ждать результата

и сюда

quarantine<at>virusnet.info (at=@) с указанной ссылкой на тему и вашим ником(именем на форуме). , в названии темы укажите - "Проверка карантина". В теле сообщения укажите адрес своей темы и ник форуме. Результаты ответа, сообщите здесь, в теме.

Пофиксить в HijackThis следующие строчки:
Далее, не вижу оного более в системе, остались только зараженный трояном контрольные точки, избавляемся от них

Отключите:
Антивирус/Файерволл

AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.

или так

Создайте новую контрольную точку восстановления и очистите предыдущие:
1. Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно-Восстановление системы нажмите Очистить
2. Нажмите Пуск- Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать.
Очистите временные файлы через Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner

1. скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
2. если вы используете Firefox, нажмите Firefox - Select All - Empty Selected
3. нажмите No, если вы хотите оставить ваши сохраненные пароли
4. если вы используете Opera, нажмите Opera - Select All - Empty Selected
5. нажмите No, если вы хотите оставить ваши сохраненные пароли

Обновляем:
Internet Explorer до IE8 для вашей безопасности, даже, если им не пользуетесь.
продукты Adobe
Следим за своевременным обновлением Java

Куритом еще не проверился((
_________________________________
SolarSpark, Здравствуйте))
отправил, не забудьте только пожалуйста мне рассказать
не нашел куда((
Профиксил. Но когда нажал фиксить, он выдал ошибку, как я полнял из-за того, что у меня был открыт проводник и опера. Я хотел профиксить еще раз, но этих строк уже не было. Выкладываю еще раз лог, который вышел.к сожалению при запуске, мне выдало ошибку. Ругался на begin в 19 строчке вроде. И я стал делать вторым способом.
это я сделал, но решил очистить еще во-первыхвместо этого была черная полоса просто (мб вирус постарался). Выбрав все пункты яно мне выдало ошибку
:clever-ma

а если у меня вообще нет IE? :lo:

вроде как есть 6 версия)

прошу прощения-скрипт поправила, можете использовать :)

quarantine@virusnet.info - это электронный адрес

о_О действительно есть. А в установках и удаления программ его нет. Как удалить эту какашку полностью тогда?
и еще вопрос с куритом. Надо ли обязательно ставить защиту от записи на болванку. Я не нашел такой функции в неро 6 когда записывал. Вроде бы если я с него буду грузиться, то вирус точно ничего не сделает.

отправилне стоит извиняться, без вас бы мне вообще бы......)))
выполнил скрипт, все успешно

Осталось куритом провериться, и дождаться исселодования карантина?

никак, это часть операционной системы, просто обновитесь до актуальной версии по моей ссылке, закроются уязвимости.

Карантин, к сожалению, пуст...(( эххх, как жаль, в последнее время этот зловред весьма активизировался, так что все равно выцепим его :grin:

ну, проверяйтесь куриетом и придерживайтесь рекомендаций
- не работать за компьютером с правами администратора
- при использовании Internet Explorer отключить в нем ActiveX и настроить безопасность (рекомендую использовать Firefox c плагином NoScript)
- регулярно устанавливать обновления windows и обновлять антивирусные базы.

пропустила вопрос) ответ: не думаю, что если нет такой функции, то непременно обязательно.
Желательно записать этот диск/флешку на Здоровом компе и пролечить больной ПК в безопасном режиме.

В целях профилактики заражения со съемных носителей примените твик реестра
Для этого скопируйте этот код в блокнот, сохраните под любым именем с расширением .reg Кликните по файлу и подтвердите добавление в реестр.

Удачи вам, больше не болейте.

Обязательно смените все ваши пароли, этот вирь их угоняет.

хорошо

c:\windows\apppatch\mrgzyeu.dat - backdoor.win32.shiz (если вдруг ответа не будет) Это не по результатам анализа вашего карантина, а по совпадению имени файла (семь_латинских_букв.dat), расположения и поведения.

Спасибо.

прочитал про него
"а так же удаляя критические для загрузки ОС файлы: ntldr ntdetect.com находящиеся на системном диске."
у меня бывает при загрузки windows зависает. Это не он случайно виновен?

если бы у вас были снесены эти файлы, винда бы вообще не загрузилась, вместо этого вы увидели бы на черном экране надпись "NTLDR is missing"причин может быть куча, можете сделать лог загрузки и посмотреть что тормозит.

SolarSpark и Katharsis большое вам спасибо Очень помогли :oszone: