[sepembra]

перед этим всем я сного запустил проверку диска с Win XP? вот что нашел и удалил:

Цитата Arbitr:

на другом логическом диске или на другом HDD? »

на другом логическом

Цитата Arbitr:

выбрать экранную клавиатуру выбрать клавиши Ctrl +Shift +Esc должен будет выйти дисп задач »

не получилось

* далее я запустил в безопасном режиме - черный экран, ни чего не работает
*далее запустил в беопасном режиме с поддержкой командной строки, в строку ввел exlorer.exe - открылся проводник
с помощью проводника запустил AVZ установленный на PC (с флешки не удалось) со свежими базами.
далее я выполнил скрипт №1, затем иследование системы! Архив прикрепил!

[sepembra]

в беопасном режиме выполнил стандартные логи AVZ

[SolarSpark]

а говорили ничего нет в Shell

Отключите:
Компьютер от интернета/локальной сети
Антивирус/Файерволл

AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\drivers\project2.exe','');
 QuarantineFile('arakrnl.exe','');
 DeleteFile('arakrnl.exe');
 RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
 DelAutorunByFileName('arakrnl.exe'); 
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(5);
ExecuteRepair(6);
ExecuteRepair(8);
ExecuteRepair(16);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится!

После перезагрузки выполните такой скрипт:

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин.Отправьте c:\quarantine.zip при помощи этой формы

Сделайте повторные логи AVZ + RSIR

• Если у вас 32 разрядная версия windows, то скачайте Random's System Information Tool (RSIT) или с зеркала
• Если у вас 64 разрядная версия windows, то необходимо скачать эту версию Random's System Information Tool(RSIT)x64 или с зеркала

Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

[sepembra]

Цитата maniy77:

а говорили ничего нет в Shell »

странно, мож я ослеп, может ERDcommander не фурычит
после первого скрипта в безопасном режиме запускался только черный экран с мигающей черточкой, в обычном режиме win XP загружался до бесконечности долго. Запустилось все только после выбора "загрузка с последней работоспособной версии"

Цитата maniy77:

Отправьте c:\quarantine.zip »

отправил

Цитата maniy77:

Сделайте повторные логи AVZ + RSIR »

сделал, и запаковал в один архив

[SolarSpark]

как сейчас загрузка происходит?

[sepembra]

maniy77, пока вроде хорошо, надо подождать денек!
Спасибо тебе большое за все

[SolarSpark]

E:\PROGRAMS\FireFox\firefox.exe Мозилу сами сюда устанавливали?

Проверьте файлы на www.virustotal.com

Код:

C:\Program Files\OKLICK Office Keyboard & Mouse Driver\OFFICEKEYBOARD\PS2USBKbdDrv.exe
C:\WINDOWS\system32\drivers\project2.exe

что за папки?
C:\WINDOWS\D56B0E274A3E46C9B5C1D93D580C099C.TMP
C:\WINDOWS\8A809006C25A4A3A9DAB94659BCDB107.TMP


Отключите:
Компьютер от интернета/локальной сети
Антивирус/Файерволл

• Выполните скрипт AVZ

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный скрипт -> Нажать кнопку "

Запустить".

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
 BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится!


Пофиксить в HijackThis следующие строчки:

Код:

R3 - URLSearchHook: (no name) -  - (no file)

InterSvyaz - ваш провайдер?

повторите лог RSIT +
Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.

[sepembra]

Цитата maniy77:

обождите немного »

жду

[SolarSpark]

ответила, делайте логи-завтра продолжим
скрипт подправила, будьте внимательны

[sepembra]

ответила? девушка

Цитата maniy77:

Мозилу сами сюда устанавливали? »

да

Цитата maniy77:

C:\Program Files\OKLICK Office Keyboard & Mouse Driver\OFFICEKEYBOARD\PS2USBKbdDrv.exe »

это дровишки на беспроводную клавиатуру , с ними все в порядке, проверил

Цитата maniy77:

C:\WINDOWS\system32\drivers\project2.exe »

этот файл невидимый

Цитата maniy77:

что за папки? C:\WINDOWS\D56B0E274A3E46C9B5C1D93D580C099C.TMP C:\WINDOWS\8A809006C25A4A3A9DAB94659BCDB107.TMP »

понятия не имею


оба скрипта выполнил, результаты отправил, HijackThis профиксил

Цитата maniy77:

InterSvyaz - ваш провайдер? »

да


сейчас Malwarebytes' Anti-Malware выполняется