Читайте по ссылке
[url="http://virusinfo.info/showpost.php?p=493584&postcount=2"]Удалите в МВАМ[/url] [b]все найденное[/b]
Printable View
Читайте по ссылке
[url="http://virusinfo.info/showpost.php?p=493584&postcount=2"]Удалите в МВАМ[/url] [b]все найденное[/b]
Вообще то я уже проверил в быстром варианте,так как ошибки были только на диске С. Удалил.
Теперь загрузил combofix. Надеюсь отослать его лог.
[COLOR="silver"]- - - Добавлено - - -[/COLOR]
Выслал лог Combofix
[COLOR="silver"]- - - Добавлено - - -[/COLOR]
выслал лог combofix и лог mbam после удаления ошибок
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на диск C:.
[code]
KillAll::
File::
Driver::
NetSvc::
Folder::
Registry::
[-HKLM\~\startupfolder\C:^Documents and Settings^Владимир^Главное меню^Программы^Автозагрузка^115.tmp]
[-HKLM\~\startupfolder\C:^Documents and Settings^Владимир^Главное меню^Программы^Автозагрузка^11E.tmp]
[-HKLM\~\startupfolder\C:^Documents and Settings^Владимир^Главное меню^Программы^Автозагрузка^13.tmp]
[-HKLM\~\startupfolder\C:^Documents and Settings^Владимир^Главное меню^Программы^Автозагрузка^132.tmp]
[-HKLM\~\startupfolder\C:^Documents and Settings^Владимир^Главное меню^Программы^Автозагрузка^13B.tmp]
[-HKLM\~\startupfolder\C:^Documents and Settings^Владимир^Главное меню^Программы^Автозагрузка^1A.tmp]
[-HKLM\~\startupfolder\C:^Documents and Settings^Владимир^Главное меню^Программы^Автозагрузка^1F.tmp]
[-HKLM\~\startupfolder\C:^Documents and Settings^Владимир^Главное меню^Программы^Автозагрузка^2C.tmp]
[-HKLM\~\startupfolder\C:^Documents and Settings^Владимир^Главное меню^Программы^Автозагрузка^3A.tmp]
[-HKLM\~\startupfolder\C:^Documents and Settings^Владимир^Главное меню^Программы^Автозагрузка^4E.tmp]
[-HKLM\~\startupfolder\C:^Documents and Settings^Владимир^Главное меню^Программы^Автозагрузка^5F.tmp]
[-HKLM\~\startupfolder\C:^Documents and Settings^Владимир^Главное меню^Программы^Автозагрузка^6D.tmp]
[-HKLM\~\startupfolder\C:^Documents and Settings^Владимир^Главное меню^Программы^Автозагрузка^81.tmp]
[-HKLM\~\startupfolder\C:^Documents and Settings^Владимир^Главное меню^Программы^Автозагрузка^8A.tmp]
[-HKLM\~\startupfolder\C:^Documents and Settings^Владимир^Главное меню^Программы^Автозагрузка^9B.tmp]
[-HKLM\~\startupfolder\C:^Documents and Settings^Владимир^Главное меню^Программы^Автозагрузка^B.tmp]
FileLook::
DirLook::
Reboot::
[/code]
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
[IMG]http://safezone.cc/images/cfscript.gif[/IMG]
Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.
Файл оказался не в директории С:\, а в директории С:\ComboFix\.
Если это тот файл, то он в приложении. После выполнения программы комп пришлось перегружать через кнопку резет, так как "выключение компьютера висело более тридцати минут".
Сделайте новый лог combofix.
лог после новой проверки. По ходу дела вчера подцепил вирус блокиратор, который в реале заблокировал компьютер. Требовал 50 евро через код Paysafecard. Блокировал конкретно. Спас Касперский Rescue Disk.
Сделайте ещё раз отчёты AVZ.
Готово.
[B][URL=http://virusinfo.info/showthread.php?t=7239]Выполните скрипт в AVZ:[/URL][/B]
[CODE]
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\DOCUME~1\ALLUSE~1\LOCALS~1\Temp\msooutt.bat','');
QuarantineFile('C:\Documents and Settings\Владимир\diskc_.exe','');
DeleteFile('C:\Documents and Settings\Владимир\diskc_.exe');
DeleteFile('C:\DOCUME~1\ALLUSE~1\LOCALS~1\Temp\msooutt.bat');
DeleteFileMask('C:\DOCUME~1\ALLUSE~1\LOCALS~1\Temp','*.*',true);
SetServiceStart('mnmsrvc', 4);
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
BC_Activate;
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
RebootWindows(true);
end.
[/CODE]
Компьютер перезагрузится.
Файл [B]quarantine.zip[/B] пришлите нам, используя ссылку [B]"прислать запрошенный карантин"[/B] над первым сообщением в этой теме.
Повторите действия, указанные в правилах. Прикрепите новые отчеты AVZ/hijackthis.
все сделал.
Пофиксите:
[CODE]O4 - HKLM\..\Policies\Explorer\Run: [64381] C:\DOCUME~1\ALLUSE~1\LOCALS~1\Temp\msooutt.bat[/CODE]
Повторите отчёт hijackthis.
готово
[B][URL=http://virusinfo.info/showthread.php?t=7239]Выполните скрипт в AVZ:[/URL][/B]
[CODE]
begin
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','64381');
ExecuteRepair(6);
RebootWindows(false);
end.
[/CODE]
Компьютер перезагрузится.
Повторите отчёт hijackthis ещё раз.
Скрипт был выполнен успешно. Программа АВЦ закрылась и долго ждал пока перезагрузится комп. Не дождался, вручную перезагрузил. При перезагрузке выскочил синий экран ошибки виндовс. Может надо было еще ждать. Только долго он вообще ничего не производил.
Еще я заметил, что в трее пропал значок переключения регистра клавиатуры. Заметил в предыдущий раз, думал, что после перезагрузки он вернется. Нет не вернулся.
Лог прикрепил. Спасибо.
Мне кажется или Вы прикрепляете один и тот же отчёт hijackthis? Под словом "повторите" понимается повторная проверка и получение отчёта.
Нет. Все логи после проведения проверок программами. Один и тот же в принципе быть не может, так как старые логи я закидываю в отдельную папку. Могу их сразу все прикрепить.
Спасибо.
Выполните ещё раз проверку МВАМ и прикрепите отчёт. Меня интересует только диск [B]C:[/B], сканируйте только его для экономии времени.
По поводу языковой панели:
Щелкните правой клавишей мыши на панели задач, из списка "[B]панели инструментов[/B]" выберите "[B]языковая панель[/B]".
Если не помогло, нажмите [B]пуск - выполнить[/B] и введите [B]ctfmon.exe[/B]
Панель появилась?
Да, значок регистра появился.
лог прикреплен.
Спасибо
Удалите то, что нашёл МВАМ.
удалил