чертов Get Accelerator

Вирус застал меня в самый неподходящий момент, поэтому я попытался быстро решить проблему и увы поздно прочитал про :
[QUOTE]"Пожалуйста, не выполняйте скрипты лечения, написанные для других пользователей. Каждый случай уникален, Вы можете нанести вред и Вашему компьютеру, и нашему сервису. За последствия, наступившие в случае невыполнения данного пункта, портал VirusInfo ответственности не несет! В данном случае администрация ресурса имеет право отказать в оказании помощи без пояснения причин."[/QUOTE]

Пробовал вот этот скрипт:
[QUOTE]"begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\system32\regedit.exe','');
QuarantineFile('C:\Documents and Settings\ИЯ\restorer64_a.exe','');
QuarantineFile('C:\WINDOWS\dmgr134.sys','');
DeleteFile('C:\WINDOWS\dmgr134.sys');
DeleteFile('C:\Documents and Settings\ИЯ\restorer64_a.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','restorer64_a');
DeleteFile('C:\WINDOWS\system32\regedit.exe');
BC_ImportAll;
ExecuteSysclean;
BC_Activate;
RebootWindows(true);
end."[/QUOTE]
Надеюсь я сильно не навредил своей системе?

От вируса я вроде бы избавился с помощью jv16powertools, но интернет по прежнему не работает.

Пожалуйста, помогите решить проблему.

Включите AVZ guard не перегружайтесь и не выключайте до конца лечения. Повторите лог virusinfo_syscure.zip - Скрипт лечения/карантина и сбора информации для раздела "Помогите!

После скрипта можно перезагрузиться?Флэшка не считывается...

[quote]После скрипта можно перезагрузиться?[/quote]
Да.

вот

Выполните скрипт в avz
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\zthxh.dll','');
QuarantineFile('C:\WINDOWS\TEMP\~TMD.tmp','');
QuarantineFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\siszyd32.exe','');
DeleteFile('70.103.101.103\aekgoprn.dll');
DeleteFile('C:\WINDOWS\system32\drivers\oomprtgh.sys');
DeleteFile('\SystemRoot\System32\Drivers\xkkkhymm.SYS');
DeleteFile('C:\WINDOWS\System32\aekgoprn.dll');
DeleteFile('\SystemRoot\System32\Drivers\dvebowqk.SYS');
DeleteFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\siszyd32.exe');
DeleteFile('C:\WINDOWS\TEMP\~TMD.tmp');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','sysgif32');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
end.[/code]
ПК перезагрузится.

Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Сделайте новые логи.

Послал.

Можно избавиться от этой хери если полностью отформатировать диск ц?

[QUOTE]Включите AVZ guard не перегружайтесь и не выключайте до конца лечения. Повторите лог virusinfo_syscure.zip - Скрипт лечения/карантина и сбора информации для раздела "Помогите![/QUOTE]
Первое предложение на самом деле не понял. Имелось в виду лечение после нажатия Скрипта?

Ладно, раз уж пошли по другой методике.
Выполните скрипт в AVZ:

[CODE]
begin
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
QuarantineFile('C:\WINDOWS\system32\drivers\ywhgewaq.SYS','');
QuarantineFile('C:\WINDOWS\system32\drivers\qdmbmvii.sys','');
DeleteFile('C:\WINDOWS\System32\Drivers\ywhgewaq.SYS');
DeleteFile('C:\WINDOWS\System32\Drivers\qdmbmvii.sys');
BC_ImportAll;
ExecuteSysClean;
BC_QrFile('C:\WINDOWS\System32\Drivers\qdmbmvii.sys');
BC_QrFile('C:\WINDOWS\System32\Drivers\ywhgewaq.SYS');
BC_Activate;
SetAVZPMStatus(True);
RebootWindows(true);
end.
[/CODE]

Если карантин окажется не пустой, загрузите его по ссылке вверху темы, по правилам.
После перезагрузки запустите утилиту в аттаче get.zip. Повторите логи.
[ATTACH]187690[/ATTACH]

Можно избавиться от этой хери если полностью отформатировать диск ц и поставить винду по новой?

Пожалуйста ответьте. Не хочу больше тратить ваше и свое время на эту хренотень.
Раз в полгода полезно это делать и повод есть.

Форматирование не закрывает дыры в системе. Тем более, что зверя почти добили.

[QUOTE]После перезагрузки запустите утилиту в аттаче get.zip.[/QUOTE]
Объясните попроще...

Скачайте то, что по ссылке. Разархивируйте и запустите.

Инет заработал.

Вы утилиту из вложения точно запускали? Исправьте системную дату пожалуйста и время. Запустите еще разок утилиту. Перезагрузитесь!. И повторите логи.

Да запускал. Она очень быстро открылась/закрылась.
Щас сделаю.

готово

Так значительно лучше :)
Добьем, выполните скрипт:

[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\zthxh.dll','');
QuarantineFile('C:\WINDOWS\system32\winsrv.exe','');
DeleteFile('C:\WINDOWS\system32\winsrv.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Java Plug-in');
DeleteFile('C:\WINDOWS\system32\zthxh.dll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\dfrekyjn\Parameters','ServiceDll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ClearHostsFile;
RebootWindows(true);
end.
[/CODE]

После перезагрузки

[code]
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
[/code]

Пришлите карантин quarantine.zip по красной ссылке Прислать запрошенный карантин вверху темы
Повторите логи AVZ.

[QUOTE]
Результат загрузки
Ошибка загрузки. Данный файл уже был загружен[/QUOTE]
Гм.

Пустой он скорее всего. Логи ждем.

Пустой, туплю я весь сегодняшний день.

Логи

В логе чисто. Internet Explorer обновите до последней версии.
Ответьте на вопрос какие из этих ай пи адресов ваши?
208.67.222.222,208.67.220.220
213.234.192.12 85.21.192.4

Internet explorer я как то удалял, а он так и не удалился до конца. Я пользуюсь firefox/opera. У меня два провайдера(второй инет ко мне поступает через роутер, который подключен ко второму компу). Вроде бы ни один из этих айпи адресов мне не подходит. Я пожалуй пойду спать, а то уже совсем не соображаю... Стоит завтра поподробнее разобраться с этим?


Спасибо вам большое! Всем участникам темы, спасибо!

[size="1"][color="#666686"][B][I]Добавлено через 10 часов 7 минут[/I][/B][/color][/size]

Синий экран вылезал сегодня. Винду придеться видимо переустановить.
Так что мне нужно сделать с айпи адресами?

85.21.192.4 и 213.234.192 -Corbina Telecom Москва
208.67.222.222, 208.67.220.220 - OPENDNS-NET-1 San Francisco
У вас коннект не через Сан Франциско же?
В HiJackThis пофиксите:

[CODE]
O17 - HKLM\System\CCS\Services\Tcpip\..\{24CD4282-FAB6-45F8-9B10-471D32FD22A7}: NameServer = 208.67.222.222,208.67.220.220
O17 - HKLM\System\CS1\Services\Tcpip\..\{24CD4282-FAB6-45F8-9B10-471D32FD22A7}: NameServer = 208.67.222.222,208.67.220.220
O17 - HKLM\System\CS2\Services\Tcpip\..\{24CD4282-FAB6-45F8-9B10-471D32FD22A7}: NameServer = 208.67.222.222,208.67.220.220
[/CODE]

Ничего переустанавливать не надо. Не за то боролись. Синий экран вылетает постоянно? Может как ответ на какие то ваши действия? Код ошибки с синего экрана напишите.

Действия стандартные были: встал утром, включил комп и пошел на кухню. Вернувшись увидел синий экран. Reset и после больше его пока что не наблюдал.

Там какие-то калякулы малякулы были, плюс что-то связанное с winlogon. Я спросонья не записал. Если еще раз вылезет, то обязательно запишу.

[QUOTE]208.67.222.222, 208.67.220.220 - OPENDNS-NET-1 San Francisco[/QUOTE]
Вспомнил, у меня на авангарде dns сервера вручную настроены. Косяк есть такой у них, поэтому сделал вручную.
Используя этот ресурс: [url]http://www.opendns.com/start/[/url]

Я так понимаю фикс не требуется...

Если вы это сделали сами, ознакомились с услугами этого сервиса, то фикс не нужен.

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]2[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\documents and settings\admin\главное меню\программы\автозагрузка\siszyd32.exe - [B]Trojan-Dropper.Win32.HDrop.ac[/B] ( DrWEB: Trojan.DownLoad1.14707, BitDefender: Trojan.Downloader.Bredolab.BY, AVAST4: Win32:Small-NDK [Trj] )[*] c:\windows\temp\~tmd.tmp - [B]Trojan-Proxy.Win32.Small.aeo[/B] ( DrWEB: Trojan.Proxy.6207, AVAST4: Win32:Malware-gen )[/LIST][/LIST]