[iskander-k]

Приветствую.

Выполните

• Скрипт AVZ.
Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.

Код:

begin
 ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\windows\temp\321.exe','');
QuarantineFile('C:\WINDOWS\apppatch\xqpwuc.exe','');
QuarantineFile('C:\Documents and Settings\Наташа\Главное меню\Программы\Автозагрузка\f5xVoNeI15k.exe','');
QuarantineFile('C:\WINDOWS\Temp\wpbt0.dll','');
 DeleteFile('C:\Documents and Settings\Наташа\Главное меню\Программы\Автозагрузка\f5xVoNeI15k.exe');
 DeleteFile('C:\windows\temp\321.exe');
 DeleteFile('C:\WINDOWS\apppatch\xqpwuc.exe');
 DeleteFile('C:\WINDOWS\Temp\wpbt0.dll');
 DeleteFileMask('C:\Documents and Settings\Наташа\Application Data\MicroST', '*.*', true);
 DeleteDirectory('C:\Documents and Settings\Наташа\Application Data\MicroST');
 RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','userinit');
 RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','userinit');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(10);
 ExecuteRepair(13);
 ExecuteRepair(16);
RebootWindows(true);
end.

После всех процедур выполните скрипт

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин quarantine.zip. Полученный архив отправьте через форму

• Скачайте Malwarebytes Anti-Malware, установите, обновите базы, выберите Perform Full Scan, нажмите Scan, после сканирования - Ok - Show Results (показать результаты) - нажмите Remove Selected (удалить выделенные). Откройте лог и скопируйте в сообщение.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.


После этого

Обновите базы АВЗ и повторите логи.

Сделайте лог HijackThis

Обязательно..
Обновите вашу ОС Microsoft Windows XP Professional Service Pack 2
до версии Microsoft Windows XP Professional Service Pack 3. В Service Pack 3 включено множество исправлений ОС. Обновить можно с помощью центра обновления встроенного в ОС. Или загрузить пакет SP3 с Центра загрузки Майкрософт выбрав язык соответствующий вашей ОС.(веб установщик)

Или скачать полный пакет Пакет обновления 3 (SP3) для ОС Windows XP — файл образа компакт-диска ISO-9660

Внимание !!!
После обновления до SP3 возможна потребуется активация!


После окончания лечения ОБЯЗАТЕЛЬНО !!! смените все ваши пароли.

[decent-girl]

Карантин выслала, а Malwarebytes Anti-Malwar установить не удалось: при запуске mbam-setup.exe появляется черное окошко и быстро исчезает, а когда я запустила mbam-rules.exe, началась установка, прошла успешно, но никаких иконок не появилось и папка Program Files/Malwarebytes' Anti-Malware пустая. 2 раза так сделала - результат тот же. Еще, кстати, вчера появилась какая-то папка (сейчас пустая) - Program Files/trend micro.

После AVZ папка 4VlJRUKP0ZeRyO6 осталась, но файл в ней не появляется, а AVIRA несколько раз ругалась:
Virus or unwanted program 'TR/Crypt.XPACK.Gen5 [trojan]'
detected in file 'D:\...\avz4\Quarantine\2012-02-10\avz00001.dta.
Action performed: Deny access
Может, карантин удалить?

[alex_sev]

Перекачайте установщик MBAM и попытайтесь установить.

Цитата:

Обновите базы АВЗ и повторите логи. Сделайте лог HijackThis

+ лог RSIT тоже повторите.

[iskander-k]

Цитата decent-girl:

Может, карантин удалить? »

Можете уже удалить.

[decent-girl]

MBAM установила и выполнила. Карантин AVZ удалила, после второй проверки папка Quarantine пустая.
Брандмауэр обязательно опять включать или может какой-нибудь файервол установить?
Точку восстановления удалять?

[iskander-k]

Что с проблемой ?

•Скачайте ComboFix или здесь или здесь и сохраните на рабочий стол.
1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.


• Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
временно выключите антивирус, firewall и другое защитное программное обеспечение.

Код:

KillAll::

File::
C:\WINDOWS\apppatch\xqpwuc.exe

Driver::

Folder::

Registry::
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"C:\WINDOWS\Temp\wpbt0.dll"=-
FileLook::

DirLook::

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.



Когда сохранится новый отчёт ComboFix, скопируйте (Ctrl+A, Ctrl+C) текст из C:\ComboFix.txt и вставьте (Ctrl+V) в следующее сообщение если текст не уместится в одном сообщении, продолжите его в следующем или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.

[decent-girl]

Цитата iskander-k:

Что с проблемой ? »

klpclst.dat больше не появляется, и папка тоже.
Куча других вирусов и троянов удалились.
Спасибо вам большое!

ComboFix запустила, лог в аттаче. RECOVERY CONSOLE устанавливать не стала - вдруг потом запросит лиценз. ключ от windows, а мне ее сто лет назад устанавливали, и где этот ключ искать, я не знаю, как и пароль администратора.

[alex_sev]

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.

Код:

KillAll::

Registry::
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"2443808c"=-

Reboot::

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.

[iskander-k]

После скрипта alex_sev,
Набор логов повторите.
АВЗ и RSIT

Цитата decent-girl:

вдруг потом запросит лиценз. ключ от windows, а мне ее сто лет назад устанавливали, »

Для RECOVERY CONSOLE регистрация\активация не нужна.

если у вас была установлена лицензионная версия, то ключ продукта не обязателен. Вы можете активировать систему (если вдруг запросит активацию) через интернет - выбрав соответствующую позицию при запросе. Либо по телефону - в этом случае windows вам предложит код который вы должны будете назвать оператору позвонив по указанному телефону при запросе активации.