Снова NT Authority

[ntauth]

Как получить этот файл - search.log?
У меня его нет в папке с AVZ.

Скриншот результатов проверки AVP:

[ntauth]

RSIT качаю

[ntauth]

Логи RSIT

[ntauth]

Запустил CureIt повторно.
Жду инструкций.
Спасибо.

[polword]

- Выполните скрипт в AVZ

Код:

begin
 RegSearch('HKLM', '', 'esp2D9F.tmp');
 SaveLog(GetAVZDirectory + 'search.log');
end.

- файл search.log из папки AVZ прикрепите к сообщению

[ntauth]

Лог добавил.

CureIt! вирусов не находит.

[polword]

- Выполните скрипт в AVZ

Код:

begin
 DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
 RegKeyDel('HKLM', 'SYSTEM\CurrentControlSet\Control\Print\Providers\2BE3547B');
 RegKeyDel('HKLM', 'SYSTEM\ControlSet001\Control\Print\Providers\2BE3547B');
 RegKeyDel('HKLM', 'SYSTEM\ControlSet003\Control\Print\Providers\2BE3547B');
 RebootWindows(true);
end.

После перезагрузки:
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)

[thyrex]

А также

Выполните скрипт в AVZ

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\mssfc.dll','');
DeleteFile('C:\WINDOWS\system32\drivers\sfc.sys');
DeleteFile('C:\WINDOWS\system32\mssfc.dll');
QuarantineFile('%windir%\system32\sfcfiles.dll','');
RenameFile('%windir%\system32\sfcfiles.dll', '%windir%\system32\sfcfiles.bak');
CopyFile('%windir%\system32\dllcache\sfcfiles.dll', '%windir%\system32\sfcfiles.dll');
DeleteFile('%windir%\system32\sfcfiles.bak');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

[ntauth]

AVZ делает лог очень долго. Видимо из-за заполненного винчестера.
HJT лог прикрепляю.
Второй скрипт сделаю после лога, который в процессе.

Спасибо!

[ntauth]

У меня есть 7ГБ папка с моими рабочими файлами. Там нет вирусов - я уверен. (Скомпилированный Qt 4.6 там лежит).
Тем не менее для подготовки логов она сканируется. Может как-то можно регулировать, что сканировать? Чтобы ускорить составление лога по стандартному скрипту?

[polword]

карантин последний не забудьте прислать

[ntauth]

Новые логи

[ntauth]

Прислал карантин:

Файл сохранён как 100714_175108_virus2_4c3dc0ccde4fb.zip
Размер файла 1291
MD5 7c22a4b21d8cc87986c839f9fb3bae93

Но, по-моему, карантин не правильно создался, там ini файлы только.

[polword]

- Выполните скрипт в AVZ

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
 QuarantineFile('c:\windows\system32\netprovcredman.dll','');
 QuarantineFile('C:\Documents and Settings\Заур\Главное меню\Программы\Автозагрузка\wwwznv32.exe','');
 DeleteFile('C:\Documents and Settings\Заур\Главное меню\Программы\Автозагрузка\wwwznv32.exe');
 BC_ImportAll;
 ExecuteSysClean;
 BC_Activate;
 RebootWindows(true);
end.

После перезагрузки:
- выполните такой скрипт

Код:

begin
  CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
 end.

Профиксите в HijackThis, что останется

Код:

R3 - URLSearchHook: (no name) -  - (no file)
O3 - Toolbar: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - (no file)
O4 - Startup: wwwznv32.exe

- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)

[ntauth]

Файл сохранён как 100714_180804_quarantine2_4c3dc4c4bca81.zip
Размер файла 223268
MD5 d177cb601e3c19e1be32da94dcd528a3

Добавлено через 3 минуты

Не нашел в HJT
последней строчки
O4 - Startup: wwwznv32.exe

[polword]

логи сделайте повторные

[ntauth]

Загрузил новые логи

[polword]

в логах подозрительного нет. Что с проблемой?

[ntauth]

Я по-прежнему гружусь специальным образом, чтобы не возникало этого сообщения.
Думаете, можно попытаться загрузиться обыкновенно?

[polword]

попробуйте