Появилась откула-то новая учетная запись

[SerrNikk]

помогите пожалуйста.
я умудрился подцепить заразу CMD.exe, которая выкидывала банне6 требующий отправить смс. убил тупо удалив из папки system32, но после этого на компе автоматически САМА создалась запароленная учетная запись.... сегодня я схлопотал вирус требующий отправить смс при входе вконтакт наивно открыв файл присланный мне другом с расширением .scr, и вот сейчас всерьез задумался о лечении компа.
проверял dweb, вирусов не обнаружил..... AVZ тупо не запускается....
буду очень признателен за помощь.

[polword]

Давайте попробуем сделать так:
- скачайте AVPtool
- установите и запустите его
- откройте вкладку Ручное лечение
- Нажмите кнопку «Сбор информации о системе».
- создавшийся лог прикрепите к новому сообщению

[SerrNikk]

спасибо )))

Добавлено через 28 минут

в скачаном AVZ названия всех менюшек и кнопок обозначены непонятными символами, программа запустилась только при копировании файла exe на рабочий стол. помогите с запуском программы...

[SerrNikk]

надеюсь это то что нужно

[SerrNikk]

помогите. накосячил много... воспользовался сервисом 911 (в AVPTOOL), воткнул туда не тот файл судя по всему.... теперь не знаю где закрывать заявку - на 911 или тут закрывать тему? не отвечают ни там, ни тут...

[polword]

- выполните скрипт в AVPTool

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,'); 
 QuarantineFile('C:\WINDOWS\system32\kwmqtf.exe','');
 QuarantineFile('C:\WINDOWS\system32\e853ded8.exe','');
 QuarantineFile('C:\Documents and Settings\All Users\TempDir\start.bat','');
 DeleteService('iatmunin');
 QuarantineFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\iatmunin.sys','');
 DeleteService('mkdrv');
 QuarantineFile('C:\WINDOWS\mkdrv.sys','');
 QuarantineFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\QG4Ox3W0.sys','');
 QuarantineFile('C:\WINDOWS\system32\drivers\aec.sys','');
 DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\QG4Ox3W0.sys');
 DeleteFile('C:\WINDOWS\mkdrv.sys');
 DeleteFile('C:\Documents and Settings\All Users\TempDir\start.bat');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','AAPatch');
 DeleteFile('C:\WINDOWS\system32\e853ded8.exe');
 DeleteFile('C:\WINDOWS\system32\kwmqtf.exe');
QuarantineFile('%windir%\system32\Drivers\sfc.SYS','');
 QuarantineFile('%windir%\system32\sfcfiles.dll','');
 QuarantineFile('%windir%\system32\mssfc.dll','');
 DeleteFile('%windir%\system32\drivers\sfc.sys');
 DeleteFile('%windir%\system32\mssfc.dll');
 RenameFile('%windir%\system32\sfcfiles.dll', '%windir%\system32\sfcfiles.bak');
 if FileExists ('%windir%\system32\dllcache\sfcfiles.dll') then
   begin
    if CheckFile('%windir%\system32\dllcache\sfcfiles.dll')=3 then
      begin
       CopyFile('%windir%\system32\dllcache\sfcfiles.dll','%windir%\system32\sfcfiles.dll');
       AddToLog('Замена sfcfiles.dll успешно произведена из кеша');
       SaveLog('sfcfiles.log');
      end
     else
      begin
       AddToLog('файл sfcfiles.dll в кеше не прошел по базе безопасных');
       SaveLog('sfcfiles.log');
       if FileExists ('%windir%\ServicePackFiles\i386\sfcfiles.dll') then
         begin
          if CheckFile('%windir%\ServicePackFiles\i386\sfcfiles.dll')=3 then
            begin
             CopyFile('%windir%\ServicePackFiles\i386\dllcache\sfcfiles.dll','%windir%\system32\sfcfiles.dll');
             AddToLog('Замена sfcfiles.dll успешно произведена из i386');
             SaveLog('sfcfiles.log');
            end
           else 
            begin
             AddToLog('файл sfcfiles.dll в i386 не прошел по базе безопасных');
             SaveLog('sfcfiles.log');
            end;
         end
        else
         begin
          AddToLog('Файл sfcfiles.dll отсутствует в i386');
          SaveLog('sfcfiles.log');
         end;
      end;
   end
  else
   begin
    AddToLog('Файл sfcfiles.dll отсутствует в кеше');
    SaveLog('sfcfiles.log');
    if FileExists ('%windir%\ServicePackFiles\i386\sfcfiles.dll') then
      begin
       if CheckFile('%windir%\ServicePackFiles\i386\sfcfiles.dll')=3 then
         begin
          CopyFile('%windir%\ServicePackFiles\i386\dllcache\sfcfiles.dll','%windir%\system32\sfcfiles.dll');
          AddToLog('Замена sfcfiles.dll успешно произведена из i386');
          SaveLog('sfcfiles.log');
         end
       else 
        begin
          AddToLog('файл sfcfiles.dll в i386 не прошел по базе безопасных');
          SaveLog('sfcfiles.log');
        end;
      end
     else
      begin
       AddToLog('Файл sfcfiles.dll отсутствует в i386');
       SaveLog('sfcfiles.log');
      end;  
   end;
 DeleteFile('%windir%\system32\sfcfiles.bak');
 BC_ImportALL;
 ExecuteSysClean;
 BC_DeleteFile('%windir%\System32\sfcfiles.bak');
 BC_DeleteSvc('sfc');
 ExecuteWizard('TSW', 2, 2, true);
 ExecuteWizard('SCU', 2, 2, true);
 RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun',221);.
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 BC_Activate;
 RebootWindows(true);
end.

После перезагрузки:
- выполните такой скрипт

Код:

begin
  CreateQurantineArchive('C:\quarantine.zip'); 
 end.

- Файл quarantine.zip из корня диска С загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторные логи по правилам п.1-3 раздела Диагностика.(virusinfo_syscure.zip;virusinfo_syscheck.zip; hijackthis.log)
- файл sfcfiles.log прикрепите к сообщению

[SerrNikk]

невозможно выполнить задачу. код ошибки - 99с63001 .

[polword]

когда скрипт запускаете?

[SerrNikk]

сейчас вставляю скрипт по инструкции в окно жму выполнить. говорит невозможно.

Добавлено через 51 секунду

отчета не дает...

Добавлено через 15 минут

аналогичная проблема темой выше - При запуске avz и HijackThis окно появляется и они сразу исчезают.
Названия файлов, названия папок менял.
сайты слава Богу не блокнуты. из утилит запускается только Gmer.... готовлю с него лог.

[polword]

антивирус отключаете? В безопасном режиме попробуйте

[SerrNikk]

начал тупо автоматическую проверку антивирем, куча троянов и эксплоитов, все удаляю, после очистки вышлю логи. присылать карантин? около полугода работал вообще без защитного ПО ....

[polword]

присылать карантин?

пришлите

[SerrNikk]

как сделать нужные логи после проверки и лечения AVPtool? ......

[polword]

так

[SerrNikk]

1. Запустите AVZ*. Откройте меню "Файл"=>"Стандартные скрипты" и отметьте пункт "Скрипт лечения/карантина и сбора информации для раздела "Помогите!" virusinfo.info". Нажмите "Выполнить отмеченные скрипты". Будет выполнено автоматическое сканирование, лечение и исследование системы, полученный лог avz_sysinfo.htm будет сохранен в директории AVZ в папке "LOG" в архиве virusinfo_syscure.zip.
Данный пункт невыполним. утилита AVZ не запускается даже с ключами AM=Y , переименовывать пробовал, перемещать тоже.
Полистаю форум поищу аналогичные темы, если не найду решения то после проверки AVPTool буду готовить лог Gmer =(

[polword]

Давайте попробуем сделать так:
- скачайте AVPtool
- установите и запустите его
- откройте вкладку Ручное лечение
- Нажмите кнопку «Сбор информации о системе».
- создавшийся лог прикрепите к новому сообщению

[SerrNikk]

Вложение 264585

[polword]

- Выполните скрипт в AVZ

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
 RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,'); 
 QuarantineFile('c:\windows\system32\kwmqtf.exe','');
 QuarantineFile('C:\Documents and Settings\All Users\TempDir\start.bat','');
 DeleteService('iatmunin');
 QuarantineFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\iatmunin.sys','');
 QuarantineFile('C:\WINDOWS\system32\drivers\aec.sys','');
 DeleteService('mkdrv');
 QuarantineFile('C:\WINDOWS\mkdrv.sys','');
 DeleteFile('C:\WINDOWS\mkdrv.sys');
 DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\iatmunin.sys');
 DeleteFile('C:\Documents and Settings\All Users\TempDir\start.bat');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','AAPatch');
 DeleteFile('c:\windows\system32\kwmqtf.exe');
 BC_ImportAll;
 ExecuteSysClean;
 RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun',221);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 BC_DeleteFile('C:\WINDOWS\mkdrv.sys');
 BC_Activate;
 RebootWindows(true);
end.

После перезагрузки:
- выполните такой скрипт

Код:

begin
  CreateQurantineArchive('C:\quarantine.zip'); 
 end.

- Файл quarantine.zip из корня диска С загрузите по ссылке Прислать запрошенный карантин вверху темы
- скачайте новую версию AVZ - 4.35
- обновите базы AVZ
- Сделайте повторные логи по правилам п.1-3 раздела Диагностика.(virusinfo_syscure.zip;virusinfo_syscheck.zip; hijackthis.log)

[SerrNikk]

карантин пришел?

[polword]

нет. При загрузке не ругался?