лечение ПК не помогло

[Alex T]

После выполнения дважды всех процедур согласно Правил, в т.ч. лечения CureIT и AVZ, состояние ПК только ухудшается. Помимо постоянно выскакивающих сообщений от установленного сканера AVAST, сама операционная система XP SP2 выдала неубираемое сообщение: Warning! Win32/Adware.Virtumonde. Detected on your computer и Warning! Win32/PrivacyRemover.M64. Detected on your computer.
Фактически работать почти невозможно.
Убедительная просьба сообществу хелперов прореагировать на мою беду.
С уважением,
Алексей.

[V_Bond]

отключите восстановление системы !
выполните скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\vedxg6ame4.exe','');
 QuarantineFile('sysfldr.dll','');
 TerminateProcessByName('c:\windows\system32\update32.exe');
 QuarantineFile('c:\windows\system32\update32.exe','');
 DeleteFile('c:\windows\system32\update32.exe');
 DeleteFile('sysfldr.dll');
 DeleteFile('C:\WINDOWS\system32\update32.exe');
 DeleteFile('C:\WINDOWS\system32\vedxg6ame4.exe');
ExecuteRepair(11);
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

пришлите карантин согласно приложения 3 правил
повторите логи

[PavelA]

Первое и Важное: отключить восст. системы. При исполнении скриптов отключить Аваст!, он будет только мешаться.

Дополнительно:

Код:

F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe
O2 - BHO: Rmn plugin - {2FDA60DF-6D94-4f16-A48C-3C4EC57FEF58} - nokia32.dll (file missing)
O20 - Winlogon Notify: sysfldr - sysfldr.dll (file missing)
O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\
O20 - Winlogon Notify: WinNt32 - C:\WINDOWS\
O20 - Winlogon Notify: WLCtrl32 - C:\WINDOWS\

Дополнительно поместить в карантин и прислать:
C:\WINDOWS\iexplorer.exe

[Alex T]

Спасибо за участие откликнувшимся, но, к сожалению, рекомендованные действия по выполнению скрипта и "пофиксить с помощью HiJackThis" результата пока не дали. Выполнял все действия при отключенном восстановлении системы. Дополнительно обнаружил ещё последствия вируса: в настройках Экрана исчезла возможность настройки обоев рабочего стола, время от времени выключается брандмауэр Windows и т.п. Кроме того, прислать с карантином запрошенную программу C:\WINDOWS\iexplorer.exe не получилось, при попытке добавить в карантин, AVZ сообщил, про "ошибку карантина файла, попытка прямого чтения". Более того, я не смог нигде найти само место расположения explorer.exe, даже в скрытых файлах.
Направляю новые логи и очень надеюсь на помощь

С уважением,
Алексей

[Гриша]

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:

begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\lphc76oj0ep7a.exe','');
 DeleteService('docker19');
 QuarantineFile('C:\WINDOWS\system32\drivers\docker19.sys','');
 QuarantineFile('C:\WINDOWS\system32\ciktbc.dll','');
 DeleteFile('C:\WINDOWS\system32\drivers\docker19.sys');
 DeleteFile('C:\WINDOWS\system32\lphc76oj0ep7a.exe');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteSvc('docker19');
BC_Activate;
ExecuteRepair(5 );
ExecuteRepair(6 );
RegKeyStrParamWrite('HKEY_USERS','.DEFAULT\Control Panel\Desktop','Wallpaper','');
RebootWindows(true);
end.

Пришлите карантин по правилам и повторите логи...

[Alex T]

Выполнил скрипт, отправил карантин и сейчас отправляю логи. Пока видимых изменений нет, хотя Avast вроде перестал засыпать сообщениями о вирусах. Но по-прежнему в качестве обоев висит это странное предупреждение якобы от Windows (см. в начале темы), и нет возможности его убрать - в настройках Экрана так и не появились стандартные закладки для настройки рабочего стола и заставки. И ещё: браузер IE работает почему то с ftp-адресами сразу, а с http-адресами только при отключении сканера avast. И ещё может кто подскажет - если после заражения неоднократно выскакивало сообщение о том, что заражено ОЗУ, может поэтому и не все получается при лечении?
С надеждой на помощь и с верой в успех,
Алексей

[Гриша]

У меня такое ощущение что ничего не выполнялось, все по-прежнему на своих местах, попробуйте выполнить в безопасном режиме...

[Alex T]

Выполнил скрипт, как советовали, в безопасном режиме - и сразу видны положительные сдвиги. Настройки Экрана восстановились и исчезло псевдосообщение Windows в качестве обоев. Однако с браузером IE проблемы добавились. Теперь страницы открываются с 3-4-ой попытки - т.е. окно появляется, но пустое (без адресной строки, панели инструментов и т.п.), далее страница зависает, при попытке закрытия её сообщает, что программа не отвечает, предлагает только через завершение задачи.

При этом в карантине оказалось еще больше файлов, чем ранее.

Направляю карантин и логи и надеюсь на Вашу поддержку.
С уважением,
алексей

[Гриша]

Подождем ответа ВирЛаба по поводу одного файла...

[Alex T]

Что-то серьёзное? Или проблемы только с IE (потому что по трассировке видно, как без проблем летают пинги, а из http-адресов без проблем открываются, как ни странно, только домашняя страница (yandex.ru) и непосредственно сайт virusinfo). Всн отсальные страницы только начинают загружаться и туте зависают.
Простите за нескромный вопрос - ответа от этого ВирЛаба долго обычно ждут?
С увыажением,
Алексей

[Гриша]

До утра думаю ответят, а вы не пробовали другой браузер использовать?

[Alex T]

Грамотёшки не хватает и не молодой я уже

[PavelA]

Записать настройки локальной сети.
Выполнить скрипт:

Код:

begin
ExecuteRepair(14);
ExecuteRepair(15);
end.

[Alex T]

Уточните, ради бога, откуда и каким образом записать настройки локальной сети (наверное, имеется ввиду подключение моего ПК к выделенке через сетевые подключения), а также что делать после выполнения скрипта в AVZ?

[PavelA]

Пуск - Выполнить - cmd, нажать Ок - ipconfig /all.
Оттуда списать адрес, маску, гейтвей, ДНС сервера.

DNS у Вас вот это: 77.75.9.13 77.75.8.13

[Alex T]

Не всё понял в Вашей терминологии, поэтому направляю полное описание подключения, через которое осуществляется выход в Internet. Фактически настройки подключения к моему провайдеру состоят из двух частей-подключения к его локальной сети и подключения к Internet, поэтому направляю описание обеих настроек.


И убедительная просьба всё-таки ответить на мой второй вопрос-что делать после выполнения скрипта?

[PavelA]

Для начала до скрипта надо попробовать войти в эти настройки.
Как это сделать: Панель управления - Сетевые подключения - на подключении правая клавиша мыши, "Свойства", TCP/IP. Там должны быть те цифры, которые ты прислал.

После выполнения скрипта заново прописать все сетевые настройки для обоих сетевых подключений.

З.Ы. Да, и я тоже не очень молод.

[Alex T]

Войти в настройки указанным способом не удалось - везде стоит галочка "получить адрес автоматически" (и IP и DNS) и поля адресов, соответственно, пустые.

[PavelA]

Вот для этого подключения посмотри: Annexgroup-PPP адаптер. Это подключение к Интернет.

[Alex T]

Я понимаю, но и настройках этого подключения в "Свойствах" - "Протокол Интернета (TCP/IP)" сейчас поля пустые и стои галочка на автоматическом получении адресов

Добавлено через 1 час 40 минут

Переписал я для подстраховки все существующие настройки подключений, и выполнил всё-таки скрипт. Результат есть, но в буквальном смысле половинчатый. Теперь количество нормально открывающихся сайтов увеличилось где-то до 60%. С остальными та же проблема - только начинают открываться и тут же зависают, при этом исчезают панель инструментов и адресная строка.
Будьте добры, доведите начатое со мной дело до положительного завершения.
С уважением,
Алексей

Добавлено через 3 часа 37 минут

Спасибо огромное всем за ценную помощь! Всё заработало!