[iskander-k]

Временно отключите:
Антивирус/Файерволл


• Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.

Код:

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\Temp\DAA167C0-E7B01318-29059650-B5F9CD98\dsox5jxa.exe','');
 QuarantineFile('C:\WINDOWS\Temp\DAA167C0-E7B01318-29059650-B5F9CD98\emi0e2re.exe','');
 DeleteFile('C:\WINDOWS\Temp\DAA167C0-E7B01318-29059650-B5F9CD98\dsox5jxa.exe');
 DeleteFile('C:\WINDOWS\Temp\DAA167C0-E7B01318-29059650-B5F9CD98\emi0e2re.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Eventlog\Doctor Web\DrWebARKDaemon','EventMessageFile');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Eventlog\Doctor Web\Dr.Web Engine','EventMessageFile');
 RegKeyStrParamWrite('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','AutoCreateQuarantine', '"' + GetAVZDirectory + 'avz.exe' + '"' + ' Script=' + '"' + GetAVZDirectory + 'Script.txt' + '"');
 AddLineToTxtFile(GetAVZDirectory + 'Script.txt', 'begin'+#13#10+' CreateQurantineArchive(GetAVZDirectory' + ' + ' + Chr(39) + 'quarantine.zip' + Chr(39) + ');'+#13#10+' RegKeyParamDel('+Chr(39)+'HKEY_CURRENT_USER'+Chr(39) + ', ' +Chr(39)+'Software\Microsoft\Windows\CurrentVersion\Run'+Chr(39)+ ', '+Chr(39)+'AutoCreateQuarantine'+Chr(39)+');'+#13#10+' ExecuteFile('+Chr(39)+'explorer.exe'+Chr(39) + ', ' + 'GetAVZDirectory, 1, 0, false);'+#13#10+' ExitAVZ;'+#13#10+'end.');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

В результате выполнения скрипта будет сформирован карантин.Отправьте quarantine.zip при помощи этой формы. В теле письма укажите свой ник на форуме и ссылку на тему и её название.

Сделайте повторные логи AVZ + RSIT

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. http://data.mbamupdates.com/tools/mbam-rules.exe Загрузить обновление MBAM

[Selina]

Цитата iskander-k:

Нужно Пофиксить в эти строки в HiJackThis. Код: »

Я не поняла - нужно что-то пофиксить или нет?

[iskander-k]

Цитата Selina:

Я не поняла - нужно что-то пофиксить или нет? »

Извините - пока ничего.

[Selina]

iskander-k, я сделала все, что Вы посоветовали. Прилагаю очередные логи. Такое чувство, что вирусы постоянно возвращаются, т.к. я 2 раза сканировала с помощью Malwarebytes и оба раза он находил вирусы, а именно Trojan.Agent.

[iskander-k]

Цитата Selina:

2-х тысяч угроз »

А что за угрозы и что за утилита их показала ?

• Скрипт AVZ.
Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.

Код:

begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
 QuarantineFile('C:\Windows\system32\WLControl.dll','');
 QuarantineFile('F:\Игры\бесплат игры\data\1\22\26\communistMutantsFS.zip','');
QuarantineFile('C:\WINDOWS\system32\108.tmp','');
 QuarantineFile('C:\WINDOWS\system32\XDva394.sys','');
 QuarantineFile('C:\WINDOWS\system32\XDva391.sys','');
 QuarantineFile('C:\WINDOWS\system32\XDva390.sys','');
 QuarantineFile('C:\WINDOWS\system32\XDva389.sys','');
 QuarantineFile('C:\WINDOWS\system32\XDva388.sys','');
 QuarantineFile('C:\WINDOWS\system32\XDva386.sys','');
 DeleteFile('C:\WINDOWS\system32\XDva386.sys');
 DeleteFile('C:\WINDOWS\system32\XDva388.sys');
 DeleteFile('C:\WINDOWS\system32\XDva389.sys');
 DeleteFile('C:\WINDOWS\system32\XDva390.sys');
 DeleteFile('C:\WINDOWS\system32\XDva391.sys');
 DeleteFile('C:\WINDOWS\system32\XDva394.sys');
DeleteFile('C:\WINDOWS\system32\108.tmp');
 DeleteFile('F:\Игры\бесплат игры\data\1\22\26\communistMutantsFS.zip');
 DeleteFile('C:\Windows\system32\WLControl.dll');
DeleteService('XDva394');
 DeleteService('XDva391');
 DeleteService('XDva390');
 DeleteService('XDva389');
 DeleteService('XDva388');
 DeleteService('XDva386');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

• HiJackThis. Нужно пофиксить эти строки в HiJackThis. Выставив галочки напротив этих пунктов и нажмите кнопку Fix Checked. Как пофиксить в HijackThis

Код:

O20 - AppInit_DLLs: WLControl.dll

[Selina]

iskander-k, спасибо Вам большое за помощь!

Цитата iskander-k:

А что за угрозы и что за утилита их показала ? »

Сначала я проверяла с помощью Malwarebytes и он обнаружил около тысячи вирусов, в основном Trojan.Agent. При этом были заражены им многие установочные (exe) файлы. Потом я проверяла ситему Drweb.CureIt и он обнаружил тоже около тысячи вирусов, в основном Win32.HLLP.Neshta. Думаю, что все это связано с ребенком, который играет по сети в Minecraft и постоянно скачивает для игры какие-то дополнительные программы и забывает проверять их перед установкой.

[iskander-k]

Цитата Selina:

были заражены им многие установочные (exe) файлы »

Цитата Selina:

в основном Win32.HLLP.Neshta »

Это указывает на то что у вас было файловое заражение и его сначала нужно лечить c LiveCD и потом уже всё остальное .



Для примера... на будущее, а можете проверить и сейчас , для контроля.

Скачайте на заведомо рабочем компьютере один из предоставленых загрузочных дисков Dr.Web LiveCD, Лаборатории Касперского, Live CD Vba32 Rescue, Avira GmbH, запишите образ на CD-диск, загрузитесь с него и проверьте компьютер из-под выбраного LiveCD. Если по каким-то причинам(маленькая скорость или лимитный интернет) у вас не будет возможности скачать загрузочные образы, можно скачать CureIT или Kaspersky Virus Removal Tool, также на здоровом компьютере и запишите на флешку, после записи, установите флешку в защиту от перезаписи и проверьте компьютер утилитами.

Цитата Selina:

забывает проверять их перед установкой. »

под предлогом лечения закрыть ему доступ к компу на время ввиде наказания.

Если есть желание обучиться лечению компьютеров от вирусов можете пройти онлайн курсы , бесплатные. по ссылке

теперь ещё раз ..

логи повторите для контроля...

[Selina]

Перед тем как сделать логи еще раз проверила компьютер с помощью Kaspersky Rescue Disc. Были опять обнаружены кое-какие вирусы, в основном из карантина Dr.Web. Еще при сканировании AVZ вышло сообщение: "Файл или каталог C:\Documents and Settings\User\ntuser.tmp поврежден и не может быть прочитан. Запустите служебную программу CHKDSK". Что в данном случае делать?

[iskander-k]

Цитата Selina:

Запустите служебную программу CHKDSK". Что в данном случае делать? »

Правой кнп мыши щелкнуть на диске С - Свойства - вкладка Сервис - кнопка Выполнить проверку- поставить галки в оба чек-бокса - Применить - и ОК - перезагрузить компьютер - ничего не делая подождать пока пройдет проверка (на синем фоне) - как закончится компьютер сам перезагрузится и запустится в рабочий режим.


если будут проблемы сообщить.