Здравствуйте! Помогите пожалуйста удалить вирус Trojan.Win.32.Agent2.byu

[quote="TEYA HFLJCNM;900814"]И еще вот такая странная папка образовалась на диске С - 32788R22FWJFW[/quote]
это нормально.
[quote="TEYA HFLJCNM;900814"]Можно ли еще раз повторить те же самые действия?[/quote]
да. Отключите антивирус и повторно выполните скрипт. Новый лог, который создаться после выполнения скрипта прикрепите к сообщению.

Я сделала все по инструкции, вчера прождала 6 часов , но проверка так и не закончилась, и сегодня повторила, но проверка точно также длилась долго - может ли длится проверка более 6 часов или что-то не работает правильно?

1. Файл c:\program files\install_flash_player.exe запакуйте с паролем virus и загрузите по ссылке "[COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR]" вверху темы.

2. В командной строке выполните:
[CODE]netsh int ip reset c:\resetlog.txt[/CODE]

3. Повторите лог ComboFix.

Все сделала

Пункт 2 перед комбофиксом выполнили? И что он Вам написал?

Да) зашла как админ -написала команду и нажала enter и потом exit) файл скопировала на диск D) так как не давал разрешения и запаковала

[COLOR="silver"]- - - Добавлено - - -[/COLOR]

Я не скопировала, то что он написал((

[COLOR="silver"]- - - Добавлено - - -[/COLOR]

помню в конце 2 строк - ОК!

[COLOR="silver"]- - - Добавлено - - -[/COLOR]

а после Combofix ноут не давал подключить модем - написал что файл помечен в реестре для удаления, но после перезагрузки - нормально

Выполните в АВЗ:
[CODE]begin
clearlog;
RegSearch('HKLM', '', '195.128.182.46');
savelog('dhcp.log');
end.[/CODE]

Файл dhcp.log прикрепите к следующему сообщению.

Сделала

Скопируйте текст ниже в Блокнот и [COLOR="#0000CD"]сохраните[/COLOR] как файл с названием [B]CFScript.txt[/B] [COLOR="#0000CD"][B]на диск D. [/B][/COLOR]
[code]
KillAll::

File::


Driver::

Folder::

RegLockDel::
[-HKEY_USERS\S-1-5-21-1228483107-2281945084-1354953221-1000\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{A0268E5B-BEA4-B70A-678F-0CDF0A3BD7F8}*]


[/code]
После сохранения переместите [B]CFScript.txt[/B] на пиктограмму ComboFix.exe.
[img]http://safezone.cc/images/cfscript.gif[/img]
Когда сохранится новый отчет [B]ComboFix.txt[/B], прикрепите его к сообщению.

что изменилось ?

[COLOR="silver"]- - - Добавлено - - -[/COLOR]

+ выполните скрипт AVZ

[CODE]begin
ExecuteRepair(21);
RebootWindows(false);
end.[/CODE]

компьютер перезагрузится

Ничего не изменилось( Combofix не делает проверку (в течении получас никаких изменений не было) - скажите если он начинает делать проверку, я увижу ее ход, чтобы я не теряла время? Скрипт AVZ делать сейчас или только после отчета Combofix?

[quote="TEYA HFLJCNM;901050"]Скрипт AVZ делать сейчас или только после отчета Combofix?[/quote]
Делайте.

[COLOR="silver"]- - - Добавлено - - -[/COLOR]

Подключение к интернету напрямую или через роутер?

Напрямую - мобильный через модем

[COLOR="silver"]- - - Добавлено - - -[/COLOR]

Скрипт AVZ сделала

- [URL="http://virusinfo.info/showthread.php?t=49691&highlight=RSIT"]Сделайте лог RSIT[/URL]

Выполнила (возможно вирус появился еще ранее чем 3 месяца назад, так как проблемы начались еще раньше, а обострилось все после того, как сам закачался файл с вирусом и фото сомнительной дамы (который мы уже удалили)

Выполните в АВЗ:
[CODE]begin
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{A2146E23-39B8-47D5-B468-25031A9903DE}','DhcpNameServer');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{D3C21668-2F7A-45EF-811D-5585BC06A1F0}','DhcpNameServer');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\ControlSet001\Services\Tcpip\Parameters','DhcpNameServer');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\ControlSet002\Services\Tcpip\Parameters\Interfaces\{D3C21668-2F7A-45EF-811D-5585BC06A1F0}','DhcpNameServer');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{A2146E23-39B8-47D5-B468-25031A9903DE}','DhcpNameServer');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{D3C21668-2F7A-45EF-811D-5585BC06A1F0}','DhcpNameServer');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Tcpip\Parameters','DhcpNameServer');
RegKeyDel('HKEY_USERS','S-1-5-21-1228483107-2281945084-1354953221-1000\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{A0268E5B-BEA4-B70A-678F-0CDF0A3BD7F8}*');
RebootWindows(true);
end.[/CODE]


[COLOR="#FF0000"]Компьютер перезагрузится[/COLOR]

Еще раз озвучьте проблемы.

Все сделала. после удаления 2х вирусов ноут работает намного лучше - программы и папки открываются быстрее, почти как раньше, но интернет все еще работает плохо - моментами работает хорошо, но в основном исходящий трафик преобладает, в 2-3 раза минимум выше входящего постоянно, а часто например исх-около 250 kbps а вх-около 6kbps, oppen office в один и тот же день может открыть доку-нт, а может сказать неверный формат (ну это может мелочи), в последнее время долго грузятся почему-то skype.exe и mobile.exe (на ноуте ничего не менялось, раньше быстро открывались) и самое главное что диск С до сих пор красный - такое началось, когда вирус появился и периодически создавал папки с тысячами файлов .ZZZ) Диск хотя бы раз в неделю чищу CCleaner, свободного места было около 3,2GB, сейчас 2,27 GB - кроме ваших программ я ничего нового не загружала (и то половина на диске D в спец папке) я и раньше вирус замечала только по сильному торможению ноута, и если не могла зайти в инет (отсоединялся) - я смотрела диск С и обнаруживала эти папки, затем чистила все ССleaner и на время инет восстанавливался. то есть сейчас все работает хорошо, за исключением того. что описала выше.

[b]TEYA HFLJCNM[/b], повторите логи RSIT

+ откройте AVZ - Сервис - Поиск данных в реестре - поищите [I]A0268E5B-BEA4-B70A-678F-0CDF0A3BD7F8[/I] если что-то нибудь найдёт сделайте экспорт в файл и прикрепите к своему сообщению.

Выполнила

Выполните скрипт

[CODE]begin
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
RegKeyResetSecurity('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{A0268E5B-BEA4-B70A-678F-0CDF0A3BD7F8}');
RegKeyDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{A0268E5B-BEA4-B70A-678F-0CDF0A3BD7F8}');
RebootWindows(false);
end.[/CODE]

компьютер перезагрузится.

проблемы остались ? диск по прежнему продолжает забиваться файлами ? и что с интернетом?

Скрипт выполнила. Запустила ССleaner поиск проблем в реестре - вот что он написал (помимо остальных) - неверные расширения файлов .ZZZ - путь ....windows\Current version\Explorer\FileExts\.ZZZ и точно также, но с расширением .ZZZZ Потом запустила очистить диск (все кроме автосохранения паролей) - зашла на диск С и увидела опять эту папку (вот ее свойства - 6,58 MG на диске 45,0 MG Файла 11539 папок 46 В разделе безопасность написано это - Запрошенная информация недоступна или не может быть отображена. Я остановила очистку диска - папка исчезла. Диск С все еще красный. Может это совпадение, но несколько раз я замечала она появляется, когда я запускаю CCleaner - поиск ошибок в реестре и очистка диска, но не всегда, было и наоборот - запускаю ССleaner только когда нахожу ее.