после avz

[danko]

посмотрите пожалуйста, не осталось ли чего после лечения.

[thyrex]

Выполните скрипт в AVZ

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\calck.exe','');
 DelCLSID('{6B830884-20E3-4AB6-B672-2629F0F72071}');
 DelBHO('{6D125299-C2A9-4DBC-BEC3-6F7124E39A41}');
 DelBHO('{35A6E2B1-27A9-47D2-913C-559E1EF1D034}');
 QuarantineFile('C:\DOCUME~1\ТАТЬЯНА\APPLIC~1\FieryAds\FieryAds.dll','');
 QuarantineFile('C:\WINDOWS\system32\XDva244.sys','');
 DeleteService('XDva244');
 QuarantineFile('C:\DOCUME~1\ТАТЬЯНА\LOCALS~1\Temp\bfastfao.sys','');
 DeleteService('bfastfao');
 QuarantineFile('C:\Program Files\Common Files\Target Marketing Agency\TMAgent\extension\components\fftma.dll','');
 QuarantineFile('C:\Documents and Settings\Татьяна\Application Data\CMedia\CMedia.dll','');
 DeleteFile('C:\Documents and Settings\Татьяна\Application Data\CMedia\CMedia.dll');
 DeleteFile('C:\Program Files\Common Files\Target Marketing Agency\TMAgent\extension\components\fftma.dll');
 DeleteFile('C:\DOCUME~1\ТАТЬЯНА\LOCALS~1\Temp\bfastfao.sys');
 DeleteFile('C:\WINDOWS\system32\XDva244.sys');
 DeleteFile('C:\Program Files\Common Files\Target Marketing Agency\TMAgent\tmagent.dll');
 DeleteFile('C:\DOCUME~1\ТАТЬЯНА\APPLIC~1\FieryAds\FieryAds.dll');
 DeleteFile('C:\WINDOWS\system32\calck.exe');
DeleteFileMask('C:\Documents and Settings\Татьяна\Application Data\CMedia', '*.*', true);
DeleteDirectory('C:\Documents and Settings\Татьяна\Application Data\CMedia');
DeleteFileMask('C:\DOCUME~1\ТАТЬЯНА\APPLIC~1\FieryAds', '*.*', true);
DeleteDirectory('C:\DOCUME~1\ТАТЬЯНА\APPLIC~1\FieryAds');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

Удалите задания в Планировщике заданий

Сделайте новые логи

[danko]

повторные логи

[thyrex]

Удалите задания в Планировщике заданий

Выполняли? Вряд ли

C:\Program Files\Meitu\XiuXiu\XiuXiu.exe Вам известен этот файл?

[danko]

сто лет его не видел, а где он живет?

[thyrex]

Выполните скрипт в AVZ

Код:

begin
QuarantineFile('C:\Program Files\Meitu\XiuXiu\XiuXiu.exe','');
end.

Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

Дубль-3

Удалите задания в Планировщике заданий

[danko]

после выполнения скрипта карантин пуст, нашел ручками линк в папке
c:\Documents and Settings\Татьяна\Application Data\Microsoft\Internet Explorer\Quick Launch\
удалил.
все?

Добавлено через 48 секунд

C:\Program Files\Meitu\XiuXiu\XiuXiu.exe
такого не вижу

Добавлено через 2 минуты

в логе avz запись

Ошибка карантина файла, попытка прямого чтения (C:\Program Files\Meitu\XiuXiu\XiuXiu.exe)
Карантин с использованием прямого чтения - ошибка

[thyrex]

Удалите задания в Планировщике заданийТак видно?

[danko]

Вы не поняли меня, , планировщик заданий на машине отключен, как до него добраться, я старый и тупой, если это назначенные задания в стандартных -> служебных, то там пусто.

[thyrex]

Панель управления - Назначенные задания

После удаления - новые логи

[danko]

И там пусто,
каюсь, между делом поудалял из назначенных заданий нечто в количестве 22 штук, называлось от at1 до at22? это оно и было?
даты создания у них у всех августом месяцем.
логи щас сделаю

[danko]

новые логи

[danko]

thyrex, извините за нетерпение, гляньте последние логи

[thyrex]

это оно и было?

Да, оно

Выполните скрипт в AVZ

Код:

begin
QuarantineFile('C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\DotNetFxInstallBlock.exe','');
ExecuteREpair(9);
RebootWindows(true);
end.

Компьютер перезагрузится.

Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

Сделайте новыq лог virusinfo_syscheck.zip

[danko]

скрипт выполнил, карантин не появился

[danko]

указанный файл действительно существует, хмм...
шлю ручками
попробовал повторно выполнить скрипт, пишет карантин выполнен, а папка карантина не появляется.

[thyrex]

Теперь в логе порядок

Добавлено через 4 минуты

Присланный файл чист

Добавлено через 4 минуты

Пофиксите в HiJack еще

Код:

R3 - URLSearchHook: (no name) - {00A6FAF6-072E-44cf-8957-5838F569A31D} - (no file)
R3 - URLSearchHook: (no name) - {EEE6C35D-6118-11DC-9C72-001320C79847} - (no file)
O2 - BHO: MyWebSearch Search Assistant BHO - {00A6FAF1-072E-44cf-8957-5838F569A31D} - (no file)
O2 - BHO: mwsBar BHO - {07B18EA1-A523-4961-B6BB-170DE4475CCA} - (no file)
O2 - BHO: ShoppingReport - {100EB1FD-D03E-47FD-81F3-EE91287F9465} - (no file)
O2 - BHO: (no name) - {7E5BE89C-2067-4619-A53D-1EBF363C4370} - (no file)
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - (no file)
O2 - BHO: Little Fighter 2 Toolbar Helper - {AE90C38C-97CF-4696-B290-C7973DC9675E} - C:\Program Files\Little Fighter 2 Toolbar\v3.3.0.1\Little_Fighter_2_Toolbar.dll (file missing)
O2 - BHO: (no name) - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - (no file)
O2 - BHO: (no name) - {BA2325ED-F9EB-4830-8FCE-0BC35B16969B} - (no file)
O2 - BHO: SWEETIE - {EEE6C35C-6118-11DC-9C72-001320C79847} - (no file)
O2 - BHO: (no name) - {FFFC57DB-1DE3-4303-B24D-CEE6DCDD3D86} - (no file)
O3 - Toolbar: (no name) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - (no file)
O3 - Toolbar: (no name) - {07B18EA9-A523-4961-B6BB-170DE4475CCA} - (no file)
O3 - Toolbar: (no name) - {7E5BE89C-2067-4619-A53D-1EBF363C4370} - (no file)
O3 - Toolbar: (no name) - {EEE6C35B-6118-11DC-9C72-001320C79847} - (no file)
O3 - Toolbar: (no name) - {468CD8A9-7C25-45FA-969E-3D925C689DC4} - (no file)

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 2
• Обработано файлов: 3
• В ходе лечения вредоносные программы в карантинах не обнаружены