[HellFire_MZ]

http://forum.oszone.net/announcement-87-112.html

[Pili]

serg4271, Здравствуйте. Сделайте пожалуйста логи по правилам

[thyrex]

serg4271, похоже вы словили общеизвестную "проблему 01.01.2070", обратите внимание на год. Вам на подготовку логов
HellFire_MZ, уж лучше сразу отправлять на выполнение правил оказания помощи

[serg4271]

год как раз Вы указали правильно, счас внимательно проштудирую правила

[serg4271]

Ну я вроди сделал три лога по правилам, только возможно я смазал картинку(до этого я вручную удалил sysmgr.exe, svcrt2.dll и ключ реестра для sysmgr.exe, погорячился так сказать, думал поможет). Очень жду ответа.впрочем эти файлы вновь образовались, я посмотрел

[Pili]

serg4271, Предварительно, для предотвращения заражения в ходе лечения, отключите автозапуск со съемных носителей, включите брандмауэр windows
Запустите AVZ, d меню AVZM выберите "Установить драйвер расширенного мониторинга процессов", далее в меню файл - выполнить скрипт, выделите и скопируйте текст ниже в окно выполнения скрипта AVZ, временно выключите антивирус и другое защитное программное обеспечение, нажмите кнопку «Запустить».

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 TerminateProcessByName('c:\windows.0\system32\system.exe');
 TerminateProcessByName('C:\WINDOWS.0\system32\sysmgr.exe');
 QuarantineFile('C:\WINDOWS.0\system32\sysmgr.exe','');
 QuarantineFile('c:\windows.0\system32\system.exe','');
 DeleteFile('c:\windows.0\system32\system.exe');
 DeleteFile('C:\WINDOWS.0\system32\sysmgr.exe');
 DeleteFileMask('%Tmp%', '*.*', true);
 DeleteFileMask('C:\DOCUME~1\serg4271\LOCALS~1\Temp', '*.*', true);
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('TSW', 1, 1, true);
ExecuteWizard('BT', 1, 1, true);
RebootWindows(true);
end.

Запустите HiJackThis, нажмите кнопку "Do a system scan only", в открывшемся окне поставьте галочки напротив указанных строк и нажмите кнопку "Fix Checked".

Код:

F2 - REG:system.ini: Shell=
F2 - REG:system.ini: UserInit=

Очистите временные файлы через Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner
- скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
- если вы используете Firefox, нажмите Firefox - Select All - Empty Selected
- нажмите No, если вы хотите оставить ваши сохраненные пароли
- если вы используете Opera, нажмите Opera - Select All - Empty Selected
- нажмите No, если вы хотите оставить ваши сохраненные пароли
Если не проверяли систему с помощью cureit и AVPTool, рекомендую проверить.
Сделайте новые логи.

[serg4271]

Pili,

Здравствуйте, Вы знаете, сделал всё в точности следуя Вашим рекомендациям- улучшений никаких, (в смысле постоянно чередуются окошки с ошибкой system32, появляются сист.файлы в темп папке),сейчас запустил AVPTool- думаю проверка закончится около часа ночи, уже 250 зловредов удалил, я сегодня всё доделаю, отправлю логи, Вы если не трудно завтра посмотрите, а я вечерком после работы продолжу.

на второй странице написал

[thyrex]

Написал serg4271 письмо в РМ, чтобы сообщил

[serg4271]

Это пятизначная цифра,каждый раз новая,с расширением .sys весом 4кб, в док и сетт.,в локальной, в темп