исчезло свойство папки + при загрузке ехе перегруз + куча папок изнеоткуда.

[killi]

Здраствуйте суть такова: пару месяцев назад в панеле свойство папки перестала срабатывать функция отображения скрытых папок и файлов .
но я не стал на это обращать внимание, скачал тотал коммандер и забил .
Пару дней назад у друга с компа на флешку кинул пару файликов пришёл домой открыл флешку и в папках начали появлятся копии предыдущих папок , при закачке ехе файлов компьютер перезагружался ,Исчезла из панели функция свойств папок и из панели управления.
скачал дрвеб перезашёл в безопасный режим форматнул флешку поставил полную проверку нашёл гдето 336 вирусов я их делитнул перезагрузился довольный .
Включил ради интереса быструю проверку и нашёл снова 15 вирусов(
скинул на влешку свои данные открыл её и снова начали появлятся папки.
как бе вот
название вируса было вроде такое email-worm.win32.bront чёто там + виртуал чёто там .
бцдц рад вашей помощи

[vegas]

Сделайте лог Gmer (см. в моей подписи)

[killi]

пожалуйста

[killi]

замтели вот эти процессы хотя раньше както не видел их в диспетчере задач smss.exe, lass.exe, csrss.exe + система начало поттармаживать раньше 2 клиента одного приложения работали в лёт, терь жутко тормазят .

[vegas]

Выполните скрипт

Код:

begin
 SearchRootkit(true,true);
 SetAVZGuardStatus(true);
 QuarantineFile('C:\Documents and Settings\DENIS\Local Settings\Temp\~DF4870.tmp','');
 QuarantineFile('C:\WINDOWS\eksplorasi.exe','');
 QuarantineFile('D:\контра\cstrike.exe','');
 QuarantineFile('D:\KAV 7\Keys_6_7\3\Crack\KavU.exe','');
 QuarantineFile('C:\Documents and Settings\DENIS\Local Settings\Application Data\smss.exe','');
 QuarantineFile('D:\ВЗЛОМ\WINSNI~1\PCANDIS5.SYS','');
 QuarantineFile('C:\WINDOWS\System32\wudfhost.exe','');
 QuarantineFile('C:\WINDOWS\system32\wbem\wmiaprpl.dll','');
 QuarantineFile('C:\WINDOWS\system32\tlntsvr.exe','');
 QuarantineFile('C:\WINDOWS\system32\wvpttp.dll','');
 QuarantineFile('%SystemRoot%\System32\MsObjs.dll','');
 QuarantineFile('%SystemRoot%\System32\MsAuditE.dll','');
 QuarantineFile('%SystemRoot%\System32\NtMarta.dll','');
 QuarantineFile(%SystemRoot%\System32\els.dll',''); 
 QuarantineFile('C:\Program Files\TightVNC\WinVNC.exe','');
 DeleteService('msupdate');
 QuarantineFile('c:\windows\system32\vhosts.exe','');
 DeleteFile('c:\windows\system32\vhosts.exe');
 DeleteFile('C:\Documents and Settings\DENIS\Local Settings\Application Data\smss.exe');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Tok-Cirrhatus');
 DeleteFile('C:\WINDOWS\eksplorasi.exe');
 DeleteFile('C:\Documents and Settings\DENIS\Local Settings\Temp\~DF4870.tmp');
 BC_ImportALL;
 ExecuteSysClean;
 BC_Activate;
 ExecuteWizard('SCU', 2, 2, true);
 ExecuteWizard('TSW', 2, 2, true);
 RebootWindows(true);
end.

После перезагрузки выполните второй скрипт

Код:

Begin
CreateQurantineArchive('C:\quarantine.zip');
End.

Пофиксите Hijackthis (что останется)

Код:

F2 - REG:system.ini: Shell=Explorer.exe "C:\WINDOWS\eksplorasi.exe"
O20 - Winlogon Notify: kbupdate - kbupdate.dll (file missing)

Сохраните текст ниже как cleanup.bat в ту же папку, где находится ltv078kd.exe (gmer)

Код:

ltv078kd.exe -del service cnqmcfwos
ltv078kd.exe -del service irvurfh
ltv078kd.exe -del reg "HKLM\SYSTEM\ControlSet001\Services\cnqmcfwos"
ltv078kd.exe -del reg "HKLM\SYSTEM\ControlSet001\Services\irvurfh"
ltv078kd.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\cnqmcfwos"
ltv078kd.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\irvurfh"
ltv078kd.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\cnqmcfwos"
ltv078kd.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\irvurfh"
ltv078kd.exe -reboot

И запустите cleanup.bat
После перезагрузки закачайте полученный карантин по красной ссылке вверху. Повторите логи

[killi]

запустил GMER копирнул код вставил в CMD нажал рун внизу появился лог из странных символов .
Закрыл всё .
В папке с программой ltv078kd.exe появился файлик ltv078kd.bat .
перезагрузился .
копирую второй код вставляю запускаю .
Он начинает ругатся выдаёт это http://s57.radikal.ru/i157/1004/7d/8d869aa398fb.jpg
если удалить этот файлик то можно выполнить второй код или я чтото сделал не так?

[vegas]

Нет, не так . Открываете Программы- Стандартные- Блокнот, в открывшееся окно программы вставляете скопированный текст скрипта, нажимаете Сохранить как - и сохраняете как cleanup.bat в папку где у вас лежит Гмер. Оттуда этот файл (cleanup.bat) и запускаете

Добавлено через 4 минуты

Карантин - это архив quarantine.zip на диске С, а вы вместо карантина батник прислали

[killi]

1 выполнил первый код (хз может и не выполнился я так и не понял что должно было произойти на секунду появилась командная строка и исчезла .)
2 выполнил второй код (тоже что и в 1 )
3 пофиксил что написано но вот 020 так и не нашёл так как в списке не было
4 начал выполнять третий код но он начал говорить на каждую стороку что параметр неверен только ребутнолось короче(
и если не сложно пожайлуйста разжуйте вот эту фразу я не очень понял
"закачайте полученный карантин по красной ссылке вверху. Повторите логи "
+ Возможно проблемы некоторые возникают из-за того что после того как я сделал лог GMER я выполнил сканирование компьютера с помощью этого МВАМ и удалил пару вирусов . криворукость вот такая у меня(
я думаю лучше повторить логи так как много чего уже изменилось) сча этим и займусь
и если возможно говорите плиз поточнее по пунктам а то бывает то что для вас понятно и просто ужасные мучения для такго пользователя как я (

[thyrex]

Над первым сообщением темы есть красная ссылка Прислать запрошенный карантин. По ней и загружайте карантин

Делайте новые логи по правілам + новый лог gmer

[killi]

мне немного не ясно от куда берётся карантин то как и куда я понял)

[vegas]

В корневом каталоге диска С найдите архив quarantine.zip - это и есть запрашиваемый карантин

[killi]

да спс я уже прочитал что вы написали ))в добавление
но проблема в том что его нету скорее всего не срабатывает код..
создаю блокнот вставляю первый код сохраняю в папке там где находится GMER под названием cleanup.bat . потом запускаю cleanup.bat идёт секундное появление командной строки и всё..( перезагружаю смотрю в корневом каталоге с там ничё нету)
под нужным названием в архиве.

[pig]

Карантин создаётся вторым скриптом (из сообщения #5) в AVZ. Делали?

[thyrex]

Лог gmer в порядке. Вы его случайно не делали под ограниченной в правах учеткой?

[vegas]

Карантин должен был появиться после этого

Выполните скрипт

Код:
begin
SearchRootkit(true,true);
SetAVZGuardStatus(true);
QuarantineFile('C:\Documents and Settings\DENIS\Local Settings\Temp\~DF4870.tmp','');
QuarantineFile('C:\WINDOWS\eksplorasi.exe','');
QuarantineFile('D:\контра\cstrike.exe','');
QuarantineFile('D:\KAV 7\Keys_6_7\3\Crack\KavU.exe','');
QuarantineFile('C:\Documents and Settings\DENIS\Local Settings\Application Data\smss.exe','');
QuarantineFile('D:\ВЗЛОМ\WINSNI~1\PCANDIS5.SYS','' );
QuarantineFile('C:\WINDOWS\System32\wudfhost.exe', '');
QuarantineFile('C:\WINDOWS\system32\wbem\wmiaprpl. dll','');
QuarantineFile('C:\WINDOWS\system32\tlntsvr.exe',' ');
QuarantineFile('C:\WINDOWS\system32\wvpttp.dll','' );
QuarantineFile('%SystemRoot%\System32\MsObjs.dll', '');
QuarantineFile('%SystemRoot%\System32\MsAuditE.dll ','');
QuarantineFile('%SystemRoot%\System32\NtMarta.dll' ,'');
QuarantineFile(%SystemRoot%\System32\els.dll','');
QuarantineFile('C:\Program Files\TightVNC\WinVNC.exe','');
DeleteService('msupdate');
QuarantineFile('c:\windows\system32\vhosts.exe','' );
DeleteFile('c:\windows\system32\vhosts.exe');
DeleteFile('C:\Documents and Settings\DENIS\Local Settings\Application Data\smss.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Micro soft\Windows\CurrentVersion\Run','Tok-Cirrhatus');
DeleteFile('C:\WINDOWS\eksplorasi.exe');
DeleteFile('C:\Documents and Settings\DENIS\Local Settings\Temp\~DF4870.tmp');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('SCU', 2, 2, true);
ExecuteWizard('TSW', 2, 2, true);
RebootWindows(true);
end.После перезагрузки выполните второй скрипт

Код:
Begin
CreateQurantineArchive('C:\quarantine.zip');
End.

Вы оба этих скрипта выполнили? В папке Quarantine там где у вас лежит AVZ что - нибудь есть?

[killi]

проблема в том что запускаю программу гмер и она после пары секунд проверки выключается поэтому я делаю запустить от имени .... потом ок ничё в той панеле не изменяя и она запускается и нормально работает
запустил АВЗ тыркнул выполнить скрипт вставил первый код написал ошибку строки http://s42.radikal.ru/i097/1004/3c/21558eb1084b.jpg
копипстнул туда второй код всё выполнилось и создался файл .
но как я понял от него нету смысла если первый код не сработал
хочу сказать спс огромное за все ваши ответы я даже не представляю какое надо иметь терпение чтобы помогать ))))

[thyrex]

Вот поправленный скрипт

Код:

begin
SearchRootkit(true,true);
SetAVZGuardStatus(true);
QuarantineFile('C:\Documents and Settings\DENIS\Local Settings\Temp\~DF4870.tmp','');
QuarantineFile('C:\WINDOWS\eksplorasi.exe','');
QuarantineFile('D:\контра\cstrike.exe','');
QuarantineFile('D:\KAV 7\Keys_6_7\3\Crack\KavU.exe','');
QuarantineFile('C:\Documents and Settings\DENIS\Local Settings\Application Data\smss.exe','');
QuarantineFile('D:\ВЗЛОМ\WINSNI~1\PCANDIS5.SYS','' );
QuarantineFile('C:\WINDOWS\System32\wudfhost.exe', '');
QuarantineFile('C:\WINDOWS\system32\wbem\wmiaprpl. dll','');
QuarantineFile('C:\WINDOWS\system32\tlntsvr.exe',' ');
QuarantineFile('C:\WINDOWS\system32\wvpttp.dll','' );
QuarantineFile('%SystemRoot%\System32\MsObjs.dll', '');
QuarantineFile('%SystemRoot%\System32\MsAuditE.dll ','');
QuarantineFile('%SystemRoot%\System32\NtMarta.dll' ,'');
QuarantineFile('%SystemRoot%\System32\els.dll',''); 
QuarantineFile('C:\Program Files\TightVNC\WinVNC.exe','');
DeleteService('msupdate');
QuarantineFile('c:\windows\system32\vhosts.exe','' );
DeleteFile('c:\windows\system32\vhosts.exe');
DeleteFile('C:\Documents and Settings\DENIS\Local Settings\Application Data\smss.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Micro soft\Windows\CurrentVersion\Run','Tok-Cirrhatus');
DeleteFile('C:\WINDOWS\eksplorasi.exe');
DeleteFile('C:\Documents and Settings\DENIS\Local Settings\Temp\~DF4870.tmp');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('SCU', 2, 2, true);
ExecuteWizard('TSW', 2, 2, true);
RebootWindows(true);
end.

Выполняйте, потом скрипт карантина и присылайте карантин

[killi]

файл карантина отправил но
ltv078kd.exe -del service cnqmcfwos
ltv078kd.exe -del service irvurfh
ltv078kd.exe -del reg "HKLM\SYSTEM\ControlSet001\Services\cnqmcfwos"
ltv078kd.exe -del reg "HKLM\SYSTEM\ControlSet001\Services\irvurfh"
ltv078kd.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\cnqmcf wos"
ltv078kd.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\irvurf h"
ltv078kd.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\cnqmcfwos"
ltv078kd.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\irvurfh"
ltv078kd.exe -reboot
так и не получилось выполнить (

Добавлено через 1 минуту

Лог gmer в порядке. Вы его случайно не делали под ограниченной в правах учеткой?

скорее всего под , подскажите как можно его выполнить без ограничения

[thyrex]

Нужно загружаться в учетке, где есть административные права

Сделайте новые логи AVZ

[killi]

зашёл в безопасном режиме под андминистратором но так этот код и не выполнился говорил ошибка параметров
вот что просили