[iskander-k]

Скрипт AVZ.
Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\wscsvc.dll','');
QuarantineFile('C:\WINDOWS\system32\jsznhg.dll','');
DeleteFile('C:\WINDOWS\system32\jsznhg.dll');
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После всех процедур выполните скрипт

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин quarantine.zip. Полученный архив отправьте на quarantine<at>virusnet.info (at=@) с указанной ссылкой на тему. , в названии темы укажите - "Проверка карантина". В теле сообщения укажите адрес своей темы на форуме. Результаты ответа, сообщите здесь, в теме.


Воспользуйтесь утилитой Kidokiller по ссылке
скачать КК распаковать и запустите утилиту.

Цитата:

1. Скачайте архив kk.zip и распакуйте его в отдельную папку на зараженном компьютере. 2. Отключите Антивирус на время работы утилиты, При запуске файла kk.exe без указания каких-либо ключей утилита останавливает активное заражение (удаляет потоки, снимает перехваты), выполняет сканирование основных мест, подверженных заражению, сканирует память, чистит реестр, проверяет flash-накопители. Дождитесь окончания сканирования. По окончании сканирования на компьютере утилита будет ожидать нажатия любой клавиши для закрытия. ВниманиеЕсли на компьютере, на котором запускается утилита KidoKiller, установлен Agnitum Outpost Firewall, то по окончании работы утилиты обязательно перезагрузите компьютер.

•


• Скачайте Malwarebytes Anti-Malware, установите, обновите базы, выберите Perform Full Scan, нажмите Scan, после сканирования - Ok - Show Results (показать результаты) - нажмите Remove Selected (удалить выделенные). Откройте лог и скопируйте в сообщение.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

[Nynchezyabka]

Всё сделала, доступ к сайтам появился, но продолжаются зависания, перезагружаюсь каждые 10 минут, ESS завис к концу установки. Из карантина пока не ответили. Вот лог MBAM

Код:

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Версия базы данных: 4860

Windows 5.1.2600 Service Pack 1
Internet Explorer 6.0.2800.1106

17.10.2010 18:20:01
mbam-log-2010-10-17 (18-20-01).txt

Тип сканирования: Полное сканирование (C:\|D:\|E:\|F:\|I:\|K:\|L:\|M:\|)
Просканированные объекты: 249358
Времени прошло: 21 минут, 28 секунд

Зараженные процессы в памяти: 0
Зараженные модули в памяти: 0
Зараженные ключи в реестре: 0
Зараженные параметры в реестре: 0
Объекты реестра заражены: 0
Зараженные папки: 0
Зараженные файлы: 7

Зараженные процессы в памяти:
(Вредоносных программ не обнаружено)

Зараженные модули в памяти:
(Вредоносных программ не обнаружено)

Зараженные ключи в реестре:
(Вредоносных программ не обнаружено)

Зараженные параметры в реестре:
(Вредоносных программ не обнаружено)

Объекты реестра заражены:
(Вредоносных программ не обнаружено)

Зараженные папки:
(Вредоносных программ не обнаружено)

Зараженные файлы:
C:\System Volume Information\_restore{794058DC-1973-4F8D-AEF7-D25D78386CF7}\RP2\A0002207.dll (Worm.Conficker) -> Quarantined and deleted successfully.
E:\ABBYY FineReader (Version 8.x) - Crack.exe (Malware.Packer.Gen) -> Not selected for removal.
E:\keygen.exe (Malware.Packer.Gen) -> Quarantined and deleted successfully.
E:\Abbyy_FineReader\ABBYY FineReader (Version 8.x) - Crack.exe (Malware.Packer.Gen) -> Not selected for removal.
I:\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx (Worm.Conficker) -> Quarantined and deleted successfully.
I:\Дистрибутивы\GetData_Recover_My_Photos_372720-36039110.exe (Trojan.Dropper) -> Not selected for removal.
L:\System Volume Information\_restore{5C3AC49A-631E-4FA4-9D4C-9150E9491529}\RP2\A0019462.exe (Trojan.Dropper) -> Quarantined and deleted successfully.

[Nynchezyabka]

Только успела зарегистрировать винду, и он опять вернулся! Снова не заходит на микрософт, но теперь вылетает с синим экраном при сканировании AVZ! вот лог HijackThis

[thyrex]

Утилитой КидоКиллер проверялись, как Вам советовали?

Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет, пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, файл C:\ComboFix.txt прикрепите к сообщению.
Примечание: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

[Nynchezyabka]

Проверяла комп КидоКиллером два раза, сейчас вот, после второго, вроде работает всё, хотя НОД говорит, что ему требуется новая база данных, а в другом пункте вроде пишут, что не требуется.

[Nynchezyabka]

С Нодом разобралась, обновила, пока больше проблем нет, спасибо, товарищи! Только комбофикс что-то нашёл. Посоветуйте, пожалуйста, какими из всех этих утилит в первую очередь бороться с такими вирусами? Я не очень поняла принцип, кто из них что делает. И как их не словить. У меня фаерфокс с эдблокплюсом, от скриптов дополнение все флэшки перекрывает, поэтому я его не ставлю.

[thyrex]

Цитата:

c:\windows\System32\wscntfy.exe c:\windows\System32\xmlprov.dll

Эти файлы восстановите с дистрибутива http://virusinfo.info/showthread.php?t=51654

c:\windows\system32\qmgr.dll проверьте на virustotal
Ссылку на результат проверки сообщите

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.

Код:

KillAll::

File::

Driver::
mibflbqkv

NetSvc::
mibflbqkv

Folder::

Registry::

FileLook::

DirLook::

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.

[iskander-k]

Цитата Nynchezyabka:

и он опять вернулся! »

Это и будет постоянно у вас Версия Windows: 5.1.2600, Service Pack 1 обновите до SP3/
Обновите вашу ОС Microsoft Windows XP Professional Service Pack 1
до версии Microsoft Windows XP Professional Service Pack 3. В Service Pack 3 включено множество исправлений ОС. Обновить можно с помощью центра обновления встроенного в ОС. Или загрузить пакет SP3 с Центра загрузки Майкрософт выбрав язык соответствующий вашей ОС.
В дальнейшем регулярно обновляйте windows посредством встроенной системы обновления.


После обновления возможно потребуется повторная активация!!!

• Очистите временные файлы через Пуск - Программы - Стандартные - Служебные - Очистка диска или с помощью ATF Cleaner.
- Скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
- Если вы используете Firefox, нажмите Firefox - Select All - Empty Selected.
- Нажмите No, если вы хотите оставить ваши сохраненные пароли.
- Если вы используете Opera, нажмите Opera - Select All - Empty Selected.
- Нажмите No, если вы хотите оставить ваши сохраненные пароли.

[Nynchezyabka]

Virustotal говорит следующее: http://www.virustotal.com/file-scan/...f53-1287339852

Сервис пак второй я поставила, как только всё заработало, до третьего ещё дело не дошло, а вот как теперь восстановить файлы, если дистрибутив SP1?

Цитата:

необходимо создать на здоровом компьютере дистрибутив с интегрированным Сервис Паком

как их отдельно восстанавливать, если нет другого компьютера? Они заражены? А отчёт нужен после исправления?