[thyrex]

Сделайте логи полиморфным AVZ (ссылка в моей подписи)

[help?]

http://forum.oszone.net/thread-98169.html
Нужны архивы,а не куски лога.

[iskander-k]

Нужны virusinfo_syscure.zip. и virusinfo_syscheck.zip и проверьте систему CureIT.

[masta]

Цитата masta:

Прямое чтение C:\Documents and Settings\Admin\Local Settings\Application Data\Opera\Opera\vps\0000\wb.vx Прямое чтение C:\Documents and Settings\Admin\Local Settings\Application Data\Opera\Opera\vps\0001\wb.vx Прямое чтение C:\Documents and Settings\Admin\Local Settings\Application Data\Opera\Opera\vps\0002\wb.vx Прямое чтение C:\Documents and Settings\Admin\Local Settings\Application Data\Opera\Opera\vps\0003\wb.vx Прямое чтение C:\Documents and Settings\Admin\Local Settings\Application Data\Opera\Opera\vps\0005\wb.vx Прямое чтение C:\Documents and Settings\Admin\Local Settings\Application Data\Opera\Opera\vps\0007\wb.vx Прямое чтение C:\Documents and Settings\Admin\Local Settings\Application Data\Opera\Opera\vps\0008\wb.vx Прямое чтение C:\Documents and Settings\Admin\Local Settings\Application Data\Opera\Opera\vps\0009\wb.vx Прямое чтение C:\Documents and Settings\Admin\Local Settings\Application Data\Opera\Opera\vps\0010\wb.vx »

а что это за файлы???

[masta]

Логи AVZ

[masta]

hijackthis

[iskander-k]

masta,

1. Отключите интернет и локальную сеть если таковая имеется.
2. Очистите временные файлы.
   Очистите временные файлы через Пуск - Программы - Стандартные - Служебные - Очистка диска или с помощью ATF Cleaner.
   • Скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
   • Если вы используете Firefox, нажмите Firefox - Select All - Empty Selected.
   • Нажмите No, если вы хотите оставить ваши сохраненные пароли.
   • Если вы используете Opera, нажмите Opera - Select All - Empty Selected.
   • Нажмите No, если вы хотите оставить ваши сохраненные пароли.
3. Восстановление системы. Создание новой контрольной точки восстановления и очистка предыдущих.
   • Создание новой точки восстановления: Нажмите Пуск > Программы > Стандартные > Служебные > Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать.
   • Очистка всех предыдущих точек восстановления: Нажмите Пуск > Программы > Стандартные > Служебные > Очистка диска, выберите системный диск, на вкладке Дополнительно > Восстановление системы нажмите Очистить, нажмите Да для очистки всех точек восстановления, кроме последней.

* Подробнее можно прочитать в этой теме.


• Скрипт AVZ.
Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
StopService('asc3360pr');
QuarantineFile('C:\WINDOWS\system32\drivers\nnlmpi.sys','');
DeleteFile('C:\WINDOWS\system32\drivers\nnlmpi.sys');
DeleteService('asc3360pr');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После всех процедур выполните скрипт

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин quarantine.zip. Отправьте полученный файл quarantine.zip из папки AVZ через данную форму. В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus" (без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Результаты ответа, сообщите здесь, в теме.

+

Загрузите GMER по одной из указанных ссылок
Gmer со случайным именем (рекомендуется), Gmer в zip-архиве (перед применением распаковать в отдельную папку)
Запустите программу (пользователям Vista запускать от имени Администратора по правой кнопке мыши).
Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No.
После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов:

• Sections
• IAT/EAT
• Show all

Из всех дисков оставьте отмеченным только системный диск (обычно C:\)
Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.
После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.

• Скачайте Malwarebytes Anti-Malware, установите, обновите базы, выберите Perform Full Scan, нажмите Scan, после сканирования - Ok - Show Results (показать результаты) - нажмите Remove Selected (удалить выделенные). Откройте лог и скопируйте в сообщение.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.


Не получил ответа на вопрос - вы проверили CureIT ?

[thyrex]

Но Sality на месте и лечить придется по-другому

masta, попробуйте такой рецепт
1. Скачайте на чистой машине DrWeb CureIt и SalityKiller
2. Запишите CureIt на чистой машине на CD вместе с SalityKiller.exe (лучше скачать его заново)
3. На проблемном компьютере пропишите запуск SalityKiller -m в автозагрузку при старте системы (как это сделать смотрите с чистой машины http://support.kaspersky.ru/viruses/...?qid=208636131)
4. Перезагрузитесь
5. Когда сработает автозапуск SalityKiller, запускайте CureIt на лечение

После лечения - новые логи по правилам

[masta]

У меня не заходит не на сайты антивирусов... не в сами антивирусники, Cureit не Каспер и даже NOD32 не канает(((