что делать с 1С?

[RiC]

Так, продолжим, выполнять аккуратно.

1. Запускаете Hijack, в нём надо пофиксить строки -

Код:

O4 - HKLM\..\Run: [port windows] C:\WINDOWS\System32\agysteo.exe
O4 - HKLM\..\RunServices: [_zlu_zlope05] C:\WINDOWS\System32\_zsk_zlu_zlope05^HL_J]\YKE\DTP]B.exe
O4 - HKLM\..\RunServices: [_zlu_zlope04] C:\WINDOWS\System32\_zsk_zlu_zlope04PDAJP_YSDOX\HMGT.exe
O4 - HKCU\..\Run: [port windows] C:\WINDOWS\System32\agysteo.exe
O4 - HKCU\..\Run: [taskdir] C:\WINDOWS\System32\taskdir.exe
O16 - DPF: {D4323BF2-006A-4440-A2F5-27E3E7AB25F8} - http://a532.g.akamai.net/f/532/6712/4h/player.virtools.com/downloads/player/Install3.0/Installer.exe
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} - http://arcade.icq.com/carlo/zuma/popcaploader_v5.cab
O16 - DPF: {E9790C6C-DCAA-4E4F-8048-FFEC3B62DFED} (VOGWeb2 Class) - http://216.32.89.203/activex/vogweb29.cab
O16 - DPF: {FAB8A8E6-219A-4C0A-AD91-BF4AB3947D6B} (SingleClient Class) - file://C:\DOCUME~1\9335~1\LOCALS~1\Temp\achat_default-3.2.0.29.cab
O20 - AppInit_DLLs:  isrdupnp.dll e1.dll confbrw.dll brwstat.dll
O20 - Winlogon Notify: arm32reg - C:\Documents and Settings\All Users\Документы\Settings\arm32.dll (file missing)
O20 - Winlogon Notify: spoowstd - C:\WINDOWS\System32\spoowstd.dll (file missing)
O20 - Winlogon Notify: winsys2freg - C:\Documents and Settings\All Users\Документы\Settings\winsys2f.dll (file missing)

2. Запускаете AVZ и включаете AVZGuard

3. После Идете в "Файл"=>"Восстановление системы"
Выбираете -

Код:

Удаление всех Polisies ...
Удаление отладчиков системных процессов
Разблокировка диспечера задач

Выбираете "Выполнить"

4. Идёте в "Сервис"=>"Менеджер файла HOSTS"
Удаляете строки -

Код:

127.0.0.1 www.trendmicro.com  
127.0.0.1 rads.mcafee.com  
127.0.0.1 customer.symantec.com  
127.0.0.1 liveupdate.symantec.com  
127.0.0.1 us.mcafee.com  
127.0.0.1 updates.symantec.com  
127.0.0.1 www.nai.com  
127.0.0.1 secure.nai.com  
127.0.0.1 dispatch.mcafee.com  
127.0.0.1 download.mcafee.com  
127.0.0.1 www.my-etrust.com  
127.0.0.1 mast.mcafee.com  
127.0.0.1 ca.com  
127.0.0.1 www.ca.com  
127.0.0.1 networkassociates.com  
127.0.0.1 www.networkassociates.com  
127.0.0.1 avp.com  
127.0.0.1 www.kaspersky.com  
127.0.0.1 www.avp.com  
127.0.0.1 downloads4.kaspersky-labs.com  
127.0.0.1 downloads3.kaspersky-labs.com  
127.0.0.1 downloads2.kaspersky-labs.com  
127.0.0.1 downloads1.kaspersky-labs.com  
127.0.0.1 www.f-secure.com  
127.0.0.1 viruslist.com  
127.0.0.1 www.viruslist.com  
127.0.0.1 liveupdate.symantecliveupdate.com  
127.0.0.1 www.mcafee.com  
127.0.0.1 sophos.com  
127.0.0.1 www.sophos.com  
127.0.0.1 securityresponse.symantec.com  
127.0.0.1 www.symantec.com

Перезагружаетесь не выходя из AVZ и не выключая Guard.

После перезагрузки запускаете AVZ
"Сервис" - "Поиск файла на диске"
Выбираете диск С:
Указываете имя файла sfc_os.dll

Напишите что и где было найдено, так-же интересует размер найденных файлов.

Повторяете 2 последних лога из правил.

[Zaur]

был найден один файл размером в 656 (наверно Кб..), C:\WINDOWS\system32\sfs_os.dll

[Zaur]

логи я тоже выполнил, их высылать?.. вот, я их выслал..

[Zaur]

и ещё, после всего того что я сделал у меня разблокирвался диспетчер задач который раньше был заблокирован, но во время перезагрусзи и сразу после загрузки копьютера у меня выскакикает окошко с одним сообщением - "fAIL", с одним вариантом ответа "ОК"...

[Alexey P.]

AVZ запускайте не из архива.
Предварительно разархивируйте в отдельную директорию - к примеру, C:\AVZ, и запускайте из нее.

[Zaur]

AVZ запускайте не из архива.
Предварительно разархивируйте в отдельную директорию - к примеру, C:\AVZ, и запускайте из нее.

теперь всё заново? если да, то с какого момента?

[Alexey P.]

1. Закройте все программы, кроме AVZ, и выполните нижеприведенный скрипт. Будет перезагрузка.

Код:

begin
 DeleteFile('C:\WINDOWS\System32\_zsk_zlu_zlope04PDAJP_YSDOX\HMGT.exe');
 DeleteFile('C:\WINDOWS\System32\_zsk_zlu_zlope05^HL_J]\YKE\DTP]B.exe');
 DeleteFile('C:\Documents and Settings\All Users\Документы\Settings\arm32.dll');
 DelWinlogonNotifyByFileName('arm32.dll');
 ExecuteSysClean;
 RebootWindows(true);
end.

2. После перезагрузки:
- В AVZ найдите и удалите все файлы C:\WINDOWS\System32\vxgame*.exe
если AVZ не сможет удалить какие-то из них и запишет в окне лога "Требуется перезагрузка" - после удаления всех файлов перезагрузитесь.

3. в AVZ из "Сервис" - "Менеджер файла Hosts" удалите в этом файле нижеприведенные строки:
O1 - Hosts: 66.235.181.40 autoforum.nnov.ru
O1 - Hosts: 66.235.181.40 master-x.com
O1 - Hosts: 66.235.181.40 www.master-x.com
O1 - Hosts: 66.235.181.40 crutop.nu
O1 - Hosts: 66.235.181.40 www.crutop.nu
O1 - Hosts: 66.235.181.40 umaxforum.com
O1 - Hosts: 66.235.181.40 www.blackseo.com
O1 - Hosts: 66.235.181.40 autoforum.nnov.ru
O1 - Hosts: 66.235.181.40 master-x.com
O1 - Hosts: 66.235.181.40 www.master-x.com
O1 - Hosts: 66.235.181.40 crutop.nu
O1 - Hosts: 66.235.181.40 www.crutop.nu
O1 - Hosts: 66.235.181.40 umaxforum.com
O1 - Hosts: 66.235.181.40 www.blackseo.com
O1 - Hosts: 66.235.181.40 autoforum.nnov.ru
O1 - Hosts: 66.235.181.40 master-x.com
O1 - Hosts: 66.235.181.40 www.master-x.com
O1 - Hosts: 66.235.181.40 crutop.nu
O1 - Hosts: 66.235.181.40 www.crutop.nu
O1 - Hosts: 66.235.181.40 umaxforum.com
O1 - Hosts: 66.235.181.40 www.blackseo.com

4. Сделайте снова логи, посмотрим.

[Zaur]

.. я переустановил операционку.. извините что отнял столько времени..

[5ergi0]

До встречи! )