[Drongo]

martellus, Привет.

• HiJackThis Нужно пофиксить эти строки в HiJackThis. Выставив галочки напротив этих пунктов и нажмите кнопку Fix Checked. Как пофиксить в HijackThis

Код:

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\Documents and Settings\Max\pydbir.exe \s,C:\WINDOWS\system32\twex.exe,C:\WINDOWS\system32\4f9be8f2.exe,C:\WINDOWS\system32\fb4af39.exe,\\?\globalroot\systemroot\system32\vwAHhhs.exe,
O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)

• Скрипт AVZ.
Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('c:\documents and settings\max\pydbir.exe','');
 QuarantineFile('c:\windows\system32\4f9be8f2.exe','');
 QuarantineFile('c:\windows\system32\fb4af39.exe','');
 QuarantineFile('c:\windows\system32\twex.exe','');
 DeleteFile('c:\documents and settings\max\pydbir.exe');
 DeleteFile('c:\windows\system32\4f9be8f2.exe');
 DeleteFile('c:\windows\system32\fb4af39.exe');
 DeleteFile('c:\windows\system32\twex.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteRepair(20);
RebootWindows(true);
end.

После всех процедур выполните скрипт

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин quarantine.zip. Отправьте полученный файл quarantine.zip из папки AVZ через данную форму. В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus" (без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Результаты ответа, сообщите здесь, в теме.

Проверьте доступ к сайтам.

Сделайте повторные логи + лог RSIT

• Скачайте RSIT или отсюда. Запустите, выберите проверку файлов за последние три месяца (3 Month) и нажмите продолжить (Continue). Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

[martellus]

О как! Доступ к сайтам появился, премного благодарен вам.
Ответ от ЛК не пришёл ещё. Так что выкладываю то что имею на данный момент.
Все логи по новой + Rsit.

[Drongo]

martellus, ну вот и отлично.

• Скачайте OTM by OldTimer и сохраните на рабочий стол.
Запустите OTMoveIt3 (в ОС Windows Vista необходимо запускать через правую кн. мыши от имени администратора)
временно выключите антивирус, firewall и другое защитное программное обеспечение. Выделите и скопируйте текст ниже (Ctrl+C)

Код:

:Processes
explorer.exe

:Services

:Files
C:\WINDOWS\system32\tjvxkg.exe
C:\Documents and Settings\Max\pydbir.exe
C:\WINDOWS\system32\Qx1disS.exe
C:\WINDOWS\system32\QgMClT8.exe
C:\WINDOWS\system32\KwRwX4M.exe
C:\WINDOWS\system32\e850EP3.exe
C:\WINDOWS\system32\tVwc1ro.exe
C:\WINDOWS\system32\uyR8RxY.exe
C:\WINDOWS\system32\L4gao0O.exe
C:\WINDOWS\system32\4CCxpvX.exe
C:\WINDOWS\system32\iXSYBTw.exe
C:\WINDOWS\system32\0kyoLbm.exe
C:\WINDOWS\system32\Ak8goNI.exe
C:\WINDOWS\system32\6EjBbMN.exe
C:\WINDOWS\system32\BkGiq3n.exe
C:\WINDOWS\system32\aUlwCeB.exe
C:\WINDOWS\system32\goSoaQG.exe
C:\WINDOWS\system32\pRM7s5R.exe
C:\WINDOWS\system32\qPjldLr.exe
C:\WINDOWS\system32\3liWrKB.exe
C:\WINDOWS\system32\2nFqVeB.exe
C:\WINDOWS\system32\ykvsD2o.exe
C:\WINDOWS\system32\rfs89a9.exe

:Reg
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Max]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\tjvxkg]
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"C:\WINDOWS\system32\tjvxkg.exe"=-
"C:\Documents and Settings\Max\pydbir.exe"=-

[purity]
[emptytemp]
[start explorer]
[Reboot]

В OTMoveIt3 под панелью "Paste Instructions for Items to be Moved" (под желтой панелью) вставьте скопированный текст и нажмите кнопку "MoveIt!". Выделите (Ctrl+A) и скопируйте (Ctrl+C) текст из окна под панелью "Results" (правая зеленая панель) в следующее сообщение.
Прим: Если файлы и папки не могут быть перемещены немедленно и появиться запись <deleted on reboot>, потребуется перезагрузка. После перезагрузки откройте папку "C:\_OTMoveIt\MovedFiles", найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение.

[martellus]

Собственно вот.

All processes killed
========== PROCESSES ==========
Process explorer.exe killed successfully!
========== SERVICES/DRIVERS ==========
========== FILES ==========
File/Folder C:\WINDOWS\system32\tjvxkg.exe not found.
File/Folder C:\Documents and Settings\Max\pydbir.exe not found.
C:\WINDOWS\system32\Qx1disS.exe moved successfully.
C:\WINDOWS\system32\QgMClT8.exe moved successfully.
C:\WINDOWS\system32\KwRwX4M.exe moved successfully.
C:\WINDOWS\system32\e850EP3.exe moved successfully.
C:\WINDOWS\system32\tVwc1ro.exe moved successfully.
C:\WINDOWS\system32\uyR8RxY.exe moved successfully.
C:\WINDOWS\system32\L4gao0O.exe moved successfully.
C:\WINDOWS\system32\4CCxpvX.exe moved successfully.
C:\WINDOWS\system32\iXSYBTw.exe moved successfully.
C:\WINDOWS\system32\0kyoLbm.exe moved successfully.
C:\WINDOWS\system32\Ak8goNI.exe moved successfully.
C:\WINDOWS\system32\6EjBbMN.exe moved successfully.
C:\WINDOWS\system32\BkGiq3n.exe moved successfully.
C:\WINDOWS\system32\aUlwCeB.exe moved successfully.
C:\WINDOWS\system32\goSoaQG.exe moved successfully.
C:\WINDOWS\system32\pRM7s5R.exe moved successfully.
C:\WINDOWS\system32\qPjldLr.exe moved successfully.
C:\WINDOWS\system32\3liWrKB.exe moved successfully.
C:\WINDOWS\system32\2nFqVeB.exe moved successfully.
C:\WINDOWS\system32\ykvsD2o.exe moved successfully.
C:\WINDOWS\system32\rfs89a9.exe moved successfully.
========== REGISTRY ==========
Registry key HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Max\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\tjvxkg\ deleted successfully.
Registry value HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standard profile\authorizedapplications\list\\C:\WINDOWS\system32\tjvxkg.exe deleted successfully.
Registry value HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standard profile\authorizedapplications\list\\C:\Documents and Settings\Max\pydbir.exe deleted successfully.

OTM by OldTimer - Version 3.1.12.0 log created on 06242010_154240

[Drongo]

martellus, Ну что. Ура. Запустите ещё раз программу OTMoveIt и нажмите кнопочку CleanUp! после перезагрузки программа и все следы от неё удалятся.

Если проблем нет, отмечайте тему решённой.

[martellus]

Drongo, премного Вам благодарен.
Проблем более нет, система работает теперь как часики.
Ещё раз благодарю Вас.