[truefail]

Сделал почти всё, кроме установки критических обновлений. Опять таки, после ошибки svchost.exe система не принимает некоторых действий, к пример, подключения к инету.

[SolarSpark]

файлы восстановите с дистрибутива

Код:

c:\windows\System32\wscntfy.exe ... is missing !!
c:\windows\System32\sfcfiles.dll ... is missing !!
c:\windows\System32\regsvc.dll ... is missing !!

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.

Код:

File::
c:\documents and settings\Neo\Главное меню\Программы\Автозагрузка\igfxtray.exe
C:\WINDOWS\svсhоst.exe
C:\WINDOWS\system32\qoogomp.exe
C:\WINDOWS\system32\bolbkfj.exe
C:\WINDOWS\system32\oapaabd.exe
C:\WINDOWS\system32\scchost.exe
C:\WINDOWS\system32\gcmcecp.exe
C:\WINDOWS\system32\bbjefcn.exe
C:\WINDOWS\system32\ver45d6.tmp
C:\WINDOWS\system32\ver430a.tmp
C:\WINDOWS\system32\vera96b.tmp
C:\Documents and Settings\Neo\Application Data\Dat44.tmp.xsi
C:\Documents and Settings\Neo\Application Data\Dat47.tmp.xsi
C:\Documents and Settings\Neo\Application Data\Dat46.tmp.xsi
C:\Documents and Settings\Neo\Application Data\Dat45.tmp.xsi
C:\Documents and Settings\Neo\Application Data\Dat44.tmp
C:\Documents and Settings\Neo\Application Data\Dat3D.tmp.xsi
C:\Documents and Settings\Neo\Application Data\Dat50.tmp.xsi
C:\Documents and Settings\Neo\Application Data\Dat4F.tmp.xsi
C:\Documents and Settings\Neo\Application Data\Dat3A.tmp.xsi
C:\Documents and Settings\Neo\Application Data\Dat5D.tmp.xsi
C:\Documents and Settings\Neo\Application Data\Dat5C.tmp.xsi
C:\Documents and Settings\Neo\Application Data\Dat5B.tmp.xsi
C:\Documents and Settings\Neo\Application Data\Dat5A.tmp.xsi
C:\Documents and Settings\Neo\Application Data\Dat59.tmp.xsi
C:\Documents and Settings\Neo\Application Data\Dat58.tmp.xsi
C:\Documents and Settings\Neo\Application Data\Dat57.tmp.xsi
C:\Documents and Settings\Neo\Application Data\Dat56.tmp.xsi
C:\Documents and Settings\Neo\Application Data\Dat4F.tmp
C:\Documents and Settings\Neo\Application Data\DatD8.tmp.xsi
C:\Documents and Settings\Neo\Application Data\DatC5.tmp.xsi
C:\Documents and Settings\Neo\Application Data\DatC1.tmp.xsi
C:\Documents and Settings\Neo\Application Data\DatC0.tmp.xsi
C:\Documents and Settings\Neo\Application Data\DatBC.tmp.xsi
C:\WINDOWS\system32\ahelcea.exe
C:\WINDOWS\system32\drivers\srenum.sys
c:\documents and settings\Neo\Local Settings\Application Data\dfl18z32.dll
c:\documents and settings\Neo\Application Data\Dat4F.tmp
Registry::
[-HKLM\~\startupfolder\C:^Documents and Settings^Neo^Главное меню^Программы^Автозагрузка^igfxtray.exe]

Reboot::

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.

Аваст в конце лечения переустановите

Пофиксить в HijackThis следующие строчки:

Код:

O9 - Extra button: (no name) - Cmdmapping - (no file) (HKCU)

настройки прокси ваши? если нет, то фиксим и эту строчку

Код:

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = free.zzzing.ru:3128

сайт http://software.kuaiche.com в доверенную зону сами добавляли?
если нет, фиксим

Код:

O15 - Trusted Zone: http://software.kuaiche.com

firefox у вас настроен на подключение через прокси.

Если вы точно не используете прокси для соединения с интернетом, зайдите в папку
c:\documents and settings\Neo\Application Data\Mozilla\Firefox\Profiles\

найдите файл prefs.js, откройте его блокнотом найдите в нем эти строки и удалите:

Код:

FF - prefs.js: browser.search.selectedEngine - Lurkmore (ru)
FF - prefs.js: browser.startup.homepage - about:blank
FF - prefs.js: network.proxy.ftp - proxy1.megobarsuk.tk
FF - prefs.js: network.proxy.ftp_port - 3120
FF - prefs.js: network.proxy.gopher - 46.161.133.214
FF - prefs.js: network.proxy.gopher_port - 3120
FF - prefs.js: network.proxy.http - proxy1.megobarsuk.tk
FF - prefs.js: network.proxy.http_port - 3120
FF - prefs.js: network.proxy.socks - proxy1.megobarsuk.tk
FF - prefs.js: network.proxy.socks_port - 3120
FF - prefs.js: network.proxy.ssl - proxy1.megobarsuk.tk
FF - prefs.js: network.proxy.ssl_port - 3120
FF - prefs.js: network.proxy.type - 0

В опциях браузера (настройки - дополнительно - сеть - "настроить") окно "параметры соединения" отметьте "без прокси".

и повторяем лог RSIT

[truefail]

Сделал всё, кроме RSIT. Во время загрузки "writing header..." появляется сообщение, скрин которого я прикрепил.

[SolarSpark]

чем дальше, тем страшнее... как в сказке
вот не хотели делать лог МВАМ))
а ведь придется проверяться с LiveCD или LiveUSB

скачиваем, записываем на болванку/делаем загрузочную флеш и прогоняем систему...

[truefail]

Цитата SolarSpark:

...и прогоняем систему. »

всю, или только системный диск? а то по поводу mbam говорили, что только системный надо, ну а тут я не знаю...

[Arbitr]

прогоняем весь HDD, после делаете лог RSIt и смотрим что у вас, в другом случае удачи не видать, и помните, вовремя поставленные критические обновления избавляют от геморроя.

[SolarSpark]

truefail, посмотрите архив Qoobox в корне системного диска и пришлите при помощи этой формы.
В теле письма укажите свой ник на форуме и ссылку на тему

[truefail]

отчёт отправил. что касается "прогнать весь hdd", то я это делал буквально несколько дней назад, при помощи dr. web livecd. большинство файлов вылечил, какие-то, которые были с троянами, удалил. мне ещё раз, что ли, прогонять? правда там была проблема одна, базы уже староватые, двухнедельной давности.

[SolarSpark]

не долечились значит, признаки файлового заражения
повторите карантин (архив Qoobox) пожалуйста, на sfera279@rambler.ru

[truefail]

Цитата SolarSpark:

не долечились значит, признаки файлового заражения повторите карантин (архив Qoobox) пожалуйста, на sfera279@rambler.ru »

странно 0_o. сообщение я отослал, а ответа так и нету.