помогите избавиться от вируса! (который папки в ярлыки переделывает)

SolarSpark · Отправлено: **19:00, 22-11-2011** | #2

Отключите:
Антивирус/Файерволл

AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.

Код:

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\users\Златамамапапа\appdata\roaming\317c.exe');
 QuarantineFile('C:\Windows\Temp\TS_54A4.tmp','');
 QuarantineFile('C:\Windows\Temp\TS_65A6.tmp','');
 QuarantineFile('K:\autorun.inf',''); 
 QuarantineFile('c:\users\Златамамапапа\appdata\roaming\317c.exe','');
  QuarantineFile('C:\Users\Златамамапапа\AppData\Roaming\Jioaoj.exe','');
 DeleteFile('C:\Users\Златамамапапа\AppData\Roaming\Jioaoj.exe');
 DeleteFile('C:\Users\Златамамапапа\AppData\Roaming\Qioaoq.exe');
 DeleteFile('C:\Windows\Temp\TS_54A4.tmp');
 DeleteFile('C:\Windows\Temp\TS_65A6.tmp');
 DeleteFile('K:\autorun.inf');
DeleteFileMask('c:\users\Златамамапапа\appdata\roaming', '???.exe', false);
DeleteFileMask('c:\users\Златамамапапа\appdata\roaming', '????.exe', false);
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Qioaoq');
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится!

После перезагрузки выполните такой скрипт:

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин.Отправьте quarantine.zip при помощи этой формы. В теле письма укажите свой ник на форуме и ссылку на тему

Пофиксить в HijackThis следующие строчки (если будут):

Код:

O4 - HKCU\..\Run: [Jioaoj] C:\Users\Златамамапапа\AppData\Roaming\Jioaoj.exe
O4 - HKCU\..\Run: [Qioaoq] C:\Users\Златамамапапа\AppData\Roaming\Qioaoq.exe

Сделайте повторные логи AVZ + RSIT

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. http://data.mbamupdates.com/tools/mbam-rules.exe Загрузить обновление MBAM
_____________________________________________________________________________

доктаай · Отправлено: **19:16, 22-11-2011** | #3

подскажи а скриптить надо с подключенным хардом?

alex_sev · Конфигурация компьютера

Да конечно

доктаай · Отправлено: **22:20, 22-11-2011** | #5

ребят у меня несколько раз при скрипте выдавало вот такую ошибку(устройство не готово; возможно дверца открыта . Проверьте наличие диска в устройстве \Device\Harddiskl\DRl, а также положение дверцы устройство)
но при неоднократном нажатии "повторить" прошло.
отправил файл как сказал(quarantine.zip)
теперь сканируется, но это походу на долго и уже нашел 2 инфецир. объекта.
при сканировании не нашел этих файлов
(O4 - HKCU\..\Run: [Jioaoj] C:\Users\Златамамапапа\AppData\Roaming\Jioaoj.exe
O4 - HKCU\..\Run: [Qioaoq] C:\Users\Златамамапапа\AppData\Roaming\Qioaoq.exe)ну я думаю это хорошо!)
спс огромное за помощь SolarSpark. как + тебе благодарностью?

SolarSpark · Отправлено: **22:55, 22-11-2011** | #6

Цитата доктаай:

ну я думаю это хорошо!) »

отработал скрипт))

ждем лог МВАМ (ничего сами не удаляйте!) выложите лог сюда

Цитата доктаай:

как + тебе благодарностью? »

внизу любого сообщения есть кнопа "полезное сообщение"

доктаай · Отправлено: **23:26, 22-11-2011** | #7

понял!

ну уже прогресс, уже нет не санкционированных запросов к подключению в нэт.

но 1. вот папка появляется постоянно при перезагрузки(C:\Users\Златамамапапа\Start Menu\Programs\Startup\WINLOGONs)
2.папки в виде ярлыков так и остались(,хотя пробовал 4х гиговую (чистую)пробовал создавал папку ,извлекал-встовлял папка не превратилась в ярлык.

доктаай · Отправлено: **23:29, 22-11-2011** | #8

скорее всего будет сканировать всю ночь. до сих пор диск С сканит , а еще и хард.

SolarSpark · Отправлено: **23:37, 22-11-2011** | #9

вот если есть эта папка

Цитата доктаай:

C:\Users\Златамамапапа\Start Menu\Programs\Startup\WINLOGONs) »

должен по идее быть и c:\users\Златамамапапаь\start menu\programs\startup\winlogons.exe, его надо удалить

но я у вас его в логах не нахожу

давайте МВАМ дождемся, потом разберемся с диском-это самое простое-поверьте мне

доктаай · Отправлено: **23:40, 22-11-2011** | #10

плин! после 2 часов сканирования появился черный экран потом сразу синий квадрат по центру с текстом и сразу перезагрузился пк. я успел разглядеть только одно слово что вроде Карнель мув. вроде так. Это что то страшное?