[Drongo]

Taran, Здравствуйте.

1. Отключите интернет и локальную сеть если таковая имеется.
2. Очистите временные файлы.
   Очистите временные файлы через Пуск - Программы - Стандартные - Служебные - Очистка диска или с помощью ATF Cleaner.
   • Скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
   • Если вы используете Firefox, нажмите Firefox - Select All - Empty Selected.
   • Нажмите No, если вы хотите оставить ваши сохраненные пароли.
   • Если вы используете Opera, нажмите Opera - Select All - Empty Selected.
   • Нажмите No, если вы хотите оставить ваши сохраненные пароли.
3. Восстановление системы. Создание новой контрольной точки восстановления и очистка предыдущих.
   • Создание новой точки восстановления: Нажмите Пуск > Программы > Стандартные > Служебные > Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать.
   • Очистка всех предыдущих точек восстановления: Нажмите Пуск > Программы > Стандартные > Служебные > Очистка диска, выберите системный диск, на вкладке Дополнительно > Восстановление системы нажмите Очистить, нажмите Да для очистки всех точек восстановления, кроме последней.

* Подробнее можно прочитать в этой теме.


• HiJackThis. Нужно пофиксить эти строки в HiJackThis. Выставив галочки напротив этих пунктов и нажмите кнопку Fix Checked. Как пофиксить в HijackThis

Код:

O2 - BHO: flashget urlcatch - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - (no file)
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: (no name) - {3CA1D406-30D8-4DBC-8EE6-0E2C05F78864} - (no file) (HKCU)
O10 - Unknown file in Winsock LSP: rsvp32_2.dll
O10 - Unknown file in Winsock LSP: rsvp32_2.dll
O10 - Unknown file in Winsock LSP: rsvp32_2.dll
O10 - Unknown file in Winsock LSP: rsvp32_2.dll
O10 - Unknown file in Winsock LSP: rsvp32_2.dll
O10 - Unknown file in Winsock LSP: rsvp32_2.dll
O16 - DPF: {02C20140-76F8-4763-83D5-B660107B7A90} - http://63.219.181.7/cax.cab
O16 - DPF: {11111111-1111-1111-1111-111111111237} - http://63.219.176.203/1/deaUA608.exe
O16 - DPF: {469C7080-8EC8-43A6-AD97-45848113743C} - http://akamai.downloadv3.com/binaries/IA/nethv32_EN_XP.cab

• Скрипт AVZ.
Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 SetServiceStart('klstm', 4);
 SetServiceStart('ids0005c', 4);
 SetServiceStart('ids0004C', 4);
 StopService('klstm');
 StopService('ids0005c');
 StopService('ids0004C');
 QuarantineFile('C:\Documents and Settings\All Users\Application Data\Kaspersky Anti-Virus Personal\5.0\bases\klstm.sys','');
 QuarantineFile('C:\Documents and Settings\All Users\Application Data\Kaspersky Anti-Virus Personal\5.0\bases\ids0005c.sys','');
 QuarantineFile('C:\Documents and Settings\All Users\Application Data\Kaspersky Anti-Virus Personal\5.0\bases\ids0004C.sys','');
 QuarantineFile('C:\WINDOWS\System32\rsvp32_2.dll','');
 DeleteFile('C:\Documents and Settings\All Users\Application Data\Kaspersky Anti-Virus Personal\5.0\bases\ids0004C.sys');
 DeleteFile('C:\Documents and Settings\All Users\Application Data\Kaspersky Anti-Virus Personal\5.0\bases\ids0005c.sys');
 DeleteFile('C:\Documents and Settings\All Users\Application Data\Kaspersky Anti-Virus Personal\5.0\bases\klstm.sys');
 DeleteFile('C:\WINDOWS\System32\rsvp32_2.dll');
 RegKeyDel('HKLM','SOFTWARE\Microsoft\Code Store Database\Distribution Units\{469C7080-8EC8-43A6-AD97-45848113743C}');
 RegKeyDel('HKLM','SOFTWARE\Microsoft\Code Store Database\Distribution Units\{11111111-1111-1111-1111-111111111237}');
 RegKeyDel('HKLM','SOFTWARE\Microsoft\Code Store Database\Distribution Units\{02C20140-76F8-4763-83D5-B660107B7A90}');
 DeleteService('klstm');
 DeleteService('ids0005c');
 DeleteService('ids0004C');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteRepair(10);
RebootWindows(true);
end.

После всех процедур выполните скрипт

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин quarantine.zip Вышлите полученный файл quarantine.zip на newvirus@kaspersky.com. Результаты ответа, сообщите здесь, в теме.


• Скачайте Malwarebytes Anti-Malware, установите, обновите базы, выберите Perform Full Scan, нажмите Scan, после сканирования - Ok - Show Results (показать результаты) . Откройте лог и скопируйте в блокнот и выложите в сообщение.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.


Повторите логи AVZ и HiJackThis.

[Taran]

Drongo, Здравствуйте. Делаю все согласно инструкции.
1. С очисткой временных файлов ATF Cleaner были проблемы. Чего-то ругалось на Prefetch. Сразу очистил без нее, потом ее, потом Select All. Потом продублировал с помощью очистки диска.
2. При пофиксить в HiJackThis - тоже чего то ругалось, но удалило строки.
3. С newvirus@kaspersky.com пришел ответ. прикрепляю.
4. В Malwarebytes Anti-Malware базы обновить не удалось. т.к. проблема старая просканировал со старыми базами. Результат прилагаю.

[Drongo]

Вот ещё сделайте.

• HiJackThis. Нужно пофиксить эти строки в HiJackThis. Выставив галочки напротив этих пунктов и нажмите кнопку Fix Checked. Как пофиксить в HijackThis

Код:

O10 - Broken Internet access because of LSP provider 'rsvp32_2.dll' missing

• Скрипт AVZ.
Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.

Код:

begin
ExecuteRepair(14);
RebootWindows(true);
end.

Что с проблемой? Безопасный режим появился?

[Taran]

Drongo, Сделал. Безопасный режим не появился.
Что надо было делать с вирусами которые нашел Malwarebytes Anti-Malware? Я ничего не удалял.

[Drongo]

Цитата Taran:

Что надо было делать с вирусами которые нашел Malwarebytes Anti-Malware? »

Повторите сканирование и удалите этот файл -

Цитата:

C:\Documents and Settings\ACE.QQQ-SJE7PRUQF9C\Local Settings\Temp\PDFEdit.exe (Malware.Packer.Morphine) -> No action taken.

Ваши IP ?

Цитата:

O17 - HKLM\System\CCS\Services\Tcpip\..\{33696F2B-89E7-4B21-A41A-4C0CE3A7E733}: NameServer = 192.168.1.1,10.20.185.250 O17 - HKLM\System\CCS\Services\Tcpip\..\{91B72A1C-AD40-49A4-AA46-57D3697D4F7C}: NameServer = 192.168.1.1,10.20.185.250 O17 - HKLM\System\CCS\Services\Tcpip\..\{AF112934-1854-4047-BE75-D38C235A972D}: NameServer = 10.0.0.1

Сделайте ещё такой лог.

• Cкачайте Gmer или с зеркала. Запустите программу. После автоматической экспресс-проверки, отметьте галочкой все жесткие диски и нажмите на кнопку Scan. После окончания проверки сохраните его лог (нажмите на кнопку Save) под каким хотите именем, например Gmer.log и прикрепите лог сюда.

[Taran]

Drongo, Сначала по предыдущему в догонку. Забыл.

[Taran]

192.168.1.1 - IP адрес WIFI роутера который подключен к кабельному интернет
10.20.185.250 - IP адрес шлюза
10.0.0.1 - мне не знаком,а может... раньше был интернет dial-up.

[Drongo]

Taran, Критичного в логах ничего не увидел. Могу только порекомендовать ещё раз попробовать все советы из предыдущей темы - Не грузиться Windows XP в безопасном режиме.

P.S. Возможно кто-либо дополнит советы.

[Taran]

PDFEdit.exe - удалил. Но по названию понятно, что это за файл...
Просканировал Gmer. лог выкладываю.
Все советы из предыдущей темы выполнил, кроме запуска программы bootsafe.