Не лечится до конца

[Deniz_S]

МВАМ оставила на ночь... (комп рабочий)

А переустановка винды грозит вызовом специалиста из столицы ибо стоит специализированная прога. Из-за этого они скорее предпочтут работать так как есть, отодвигая ошибку svchost.ехе в сторонку... Сказала бы я что про них думаю, но "Клиент всегда прав" ©

[thyrex]

Это данные о Вашем провайдере?

organisation: ORG-PL87-RIPE
org-name: Promnet Ltd.
org-type: LIR
address: Ekaterinenskaja str., 41, 65000, Odessa, Ukraine
e-mail: [email protected]
mnt-ref: PROMNET-MNT
mnt-by: PROMNET-MNT
source: RIPE # Filtered
mnt-by: RIPE-NCC-HM-MNT

[Deniz_S]

нет, это данные не о нашем провайдере. Я живу в г. xxxx, респ. Бxxxxx, провайдер Бxxxxxxx
вот последний лог МВАМ

[thyrex]

Код:

C:\autorun.inf (SuspectAutorun.Rootdrive.H) -> No action taken.

Нужно в MBAM удалить

Потом лог HiJack сделайте еще раз

[Deniz_S]

вот лог

[thyrex]

Поищите C:\WINDOWS\system32\winulty.exe и, если найдется, пришлите согласно Приложения 2 правил

[Deniz_S]

Файл сохранён как 091016_135906_virus_4ad843eacfdbf.zip
Размер файла 105865
MD5 06b0b17b27ef34e614f9fc468609383f

[Rene-gad]

Файл чистый и дигитально подписанный производителем.
А какие ещё жалобы есть?

[Deniz_S]

левых файлов вроде пока нет, но ошибка svchost осталась ;`(

[Rene-gad]

- Установите Сервис Пак 3 - возможно потребуется активация, и все последующие важные патчи.
Перед установкой Сервис Пака необходимо выгрузить все защитные приложения (антивирус, файрвол а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)
- Установите IE 8.

[thyrex]

Повторная проверка показала, что файл таки опасен

Выполните скрипт в AVZ

Код:

begin
 DeleteFile('C:\WINDOWS\system32\winulty.exe');
ExecuteSysClean;
RebootWindows(true);
end.

Компьютер перезагрузится.

Сделайте новые логи

[Deniz_S]

скрипт выполнен - вот логи

[Rene-gad]

http://virusinfo.info/showpost.php?p...2&postcount=24

[Deniz_S]

воть

[Rene-gad]

воть

а остальные логи?

[Deniz_S]

http://virusinfo.info/showpost.php?p...2&postcount=24

тут просють только HiJac, остальные выше - я же только авторун удалила - autorun.inf и autorun.pnf

Добавлено через 6 минут

кстати вопрос, в логах АВЗ нарыла
C:\WINDOWS\System32\ipbootp.dll (Активен Ключ реестра HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System\ IPBOOTP, EventMessageFile)

C:\WINDOWS\System32\iprip2.dll (Активен Ключ реестра HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System\ IPRIP2, EventMessageFile)

Это нормальные файлы?

[AndreyKa]

C:\WINDOWS\System32\ipbootp.dll
C:\WINDOWS\System32\iprip2.dll
этих файлов у вас нет, только записи в реестре.
Обновите базы AVZ
Проведите процедуру, описанную в первом сообщении тут: http://virusinfo.info/showthread.php?t=3519

[Rene-gad]

тут просють только HiJac

No, Madam.

Нужно в MBAM удалить

[Deniz_S]

Скрипт сбора подозрительных файлов

Результат загрузки
Файл сохранён как 091022_150728_virusinfo_files_BOOK_4ae03cf079f8b.z ip
Размер файла 6888005
MD5 41534264bb70a58b62b2f2438b391486
Файл закачан, спасибо!

Добавлено через 33 секунды

Rene-gad, я поняла, логи делать полностью?

[Deniz_S]

вот полные логи