Созданные ответы форума
-
Сообщения
-
AskBar (I:Program FilesAskBarDis) — рекомендую деинсталлировать и удалить папку.
Запустите AVZ, далее в меню файл — выполнить скрипт, выделите и скопируйте текст ниже в окно выполнения скрипта AVZ, нажмите кнопку «Запустить».begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('I:autorun.inf','');
QuarantineFile('I:Program FilesAskBarDisbarbinaskBar.dll','');
DeleteFile('I:Program FilesAskBarDisbarbinaskBar.dll');
DeleteFile('I:autorun.inf');
DelBHO('{201f27d4-3704-41d6-89c1-aa35e39143ed}');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(6);
ExecuteRepair(8);
RegKeyIntParamWrite( 'HKLM', 'SOFTWAREMicrosoftWindowsCurrentVersionpoliciesNonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
RebootWindows(true);
end.В остальном логи чистые. Проблемы ещё наблюдаются?
— Скачайте AVZ и распакуйте.
— Запустите AVZ и обновите базы (Файл — Обновление баз). Выберите из меню Файл — Стандартные скрипты и поставьте галку напротив 3-го скрипта и нажмите «Выполнить отмеченные скрипты». После выполнения скрипта обязательно перезагрузите компьютер.
— Вложите в следующее сообщение файл virusinfo_sysinfo.htm или virusinfo_syscure.zip из каталога AVZLOGЗдравствуйте, e-dinka. Добро пожаловать на форум.
Для отключения автозапуска скопируйте приведенный ниже текст в блокнот и сохраните файл как noautorun.reg, примените.Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesCdrom]
"AutoRun"=dword:00000000
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionpoliciesExplorer]
"NoDriveTypeAutoRun"=dword:000000ff
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionIniFileMappingAutorun.inf]
@="@SYS:DoesNotExist"
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAutoplayHandlersCancelAutoplayFiles]
"*.*"=""Или распакуйте файл AutorunDisabled.zip и примените.
Найдите файл c:windowssystem32DRIVERSacpi_contactor_xp.sys и проверьте на http://virustotal.com, результат проверки скопируйте сюда или дайте ссылку.
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
временно выключите антивирус, firewall и другое защитное программное обеспечение
File::
c:documents and settingsAll UsersApplication Datacwhlib.dll
F:LaunchU3.exe
F:Autorun.exe
Registry::
[-HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2F]
[-HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{7db81551-b890-11dd-8be4-001cbfc54bbb}]
[-HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{fad4d917-9df7-11dd-8bac-00a0d1cbd151}]
[-HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects{ EF2F27EF-105F-4322-86B3-A4CBD8A13938}]
[-HKEY_CLASSES_ROOTCLSID{EF2F27EF-105F-4322-86B3-A4CBD8A13938}]
FileLook::
c:windowssystem32DRIVERSacpi_contactor_xp.sys
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
Когда сохранится новый отчет ComboFix, скопируйте (Ctrl+A, Ctrl+C) текст из C:ComboFix.txt и вставьте (Ctrl+V) в следующее сообщение если текст не уместится в одном сообщении, продолжите его в следующем или запакуйте файл C:ComboFix.txt и прикрепите к сообщению.
Скачайте HijackThis и распакуйте.
Запустите HijackThis. Нажмите на кнопку «Do a system scan and save a logfile». Выделите (Ctrl+A) и скопируйте текст (Ctrl+C) из окна лога и вставьте в свое сообщение (Ctrl+V)@viv wrote:
Агде сохранять
Например на рабочем столе или любом диске C: или D: или в любой папке. Прикрепил готовый файл, распакуйте и примените.
Сделайте лог AVZ.Здравствуйте, viv. Добро пожаловать на форум.
Отключите автозапуск со съемных носителей. чтобы в процессе лечения снова не заражаться.
Скопируйте приведенный ниже текст в блокнот и сохраните файл как noautorun.reg, примените.Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesCdrom]
"AutoRun"=dword:00000000
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionpoliciesExplorer]
"NoDriveTypeAutoRun"=dword:000000ff
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionIniFileMappingAutorun.inf]
@="@SYS:DoesNotExist"
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAutoplayHandlersCancelAutoplayFiles]
"*.*"=""Далее скачайте Flash Drive Disinfector и запустите утилиту (не забудьте подключить флешки и/или другие съемные носители) — утилита создает на дисках папки с именем autorun.inf (папка будет содержать файл lpt3.this folder was created by flash_disinfector), это предотвратит запись на диски и съемные носители файлов autorun.inf
Создайте новую контрольную точку восстановления и очистите предыдущие:
— Нажмите Пуск — Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно-Восстановление системы нажмите Очистить
— Нажмите Пуск- Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите СоздатьОчистите временные файлы через Пуск-Программы-Стандартные-Служебные-Очистка диска и с помощью ATF Cleaner
— скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
— если вы используете Firefox, нажмите Firefox — Select All — Empty Selected
— нажмите No, если вы хотите оставить ваши сохраненные пароли
— если вы используете Opera, нажмите Opera — Select All — Empty Selected
— нажмите No, если вы хотите оставить ваши сохраненные пароли— Скачайте AVZ и распакуйте.
— Запустите AVZ и обновите базы (Файл — Обновление баз). Выберите из меню Файл — Стандартные скрипты и поставьте галку напротив 3-го скрипта и нажмите «Выполнить отмеченные скрипты». После выполнения скрипта обязательно перезагрузите компьютер.
— Вложите в следующее сообщение файл virusinfo_sysinfo.htm или virusinfo_syscure.zip из каталога AVZLOG
— Скачайте HijackThis и распакуйте.
— Запустите HijackThis. Нажмите на кнопку «Do a system scan and save a logfile». Выделите (Ctrl+A) и скопируйте текст (Ctrl+C) из окна лога и вставьте в свое сообщение (Ctrl+V)Его ещё просто не удаляли 🙂
Запустите AVZ, далее в меню файл — выполнить скрипт, выделите и скопируйте текст ниже в окно выполнения скрипта AVZ, временно выключите антивирус, firewall и другое защитное программное обеспечение, нажмите кнопку «Запустить».begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:Documents and SettingsRiffLocal SettingsTemp~DFE7E3.tmp','');
QuarantineFile('C:RECYCLERS-1-5-21-1482476501-1644491937-682003330-1013winde32.exe','');
QuarantineFile('C:DOCUME~1RiffLOCALS~1TempGPE340D.tmp','');
DeleteFile('C:Documents and SettingsRiffLocal SettingsTemp~DFE7E3.tmp');
DeleteFile('C:DOCUME~1RiffLOCALS~1TempGPE340D.tmp');
DeleteFile('C:RECYCLERS-1-5-21-1482476501-1644491937-682003330-1013winde32.exe');
DelCLSID('28ABC5C0-4FCB-11CF-AAX5-81CX1C735612');
DeleteService('GarenaPEngine');
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.После перезагрузки файл quarantine.zip отправьте на user15802[at]mail.ru, в письме укажите ссылку на тему
Запустите AVZ. Выберите из меню Файл — Стандартные скрипты, поставьте галку напротив 2-го скрипта и нажмите «Выполнить отмеченные скрипты».
Вложите в следующее сообщение файл virusinfo_sysinfo.htm или virusinfo_syscheck.zip из каталога AVZLOGПо логам ничего плохого не вижу, единственное — рекомендую деинсталлировать MyCentria (Интернет помощник MyCentria — C:Program FilesMyCentria) и удалить саму папку C:Program FilesMyCentria
Создайте новую контрольную точку восстановления и очистите предыдущие:
— Нажмите Пуск — Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно-Восстановление системы нажмите Очистить
— Нажмите Пуск- Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите СоздатьЗапакуйте пожалуйста папку C:_OTMoveItMovedFiles с паролем virus и пришлите мне на user15802[at]mail.ru
Запустите OTMoveIt3 и нажмите CleanUp!Рекомендую установить WindowsXP SP3 и все последующие обновления — http://windowsupdate.microsoft.com
Для предотвращения заражения, рекомендую не работать за компьютером с правами администратора, отключить неиспользуемые службы, отключить автозапуск со съемных носителей, не использовать Internet Explorer или отключить в нем ActiveX, пользоваться браузером Opera или Firefox c плагином NoScript и AdBlock Plus
Для отключения автозапуска скопируйте приведенный ниже текст в блокнот и сохраните файл как noautorun.reg, примените.Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesCdrom]
"AutoRun"=dword:00000000
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionpoliciesExplorer]
"NoDriveTypeAutoRun"=dword:000000ff
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionIniFileMappingAutorun.inf]
@="@SYS:DoesNotExist"
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAutoplayHandlersCancelAutoplayFiles]
"*.*"=""Советую прочитать электронную книгу «Безопасный Интернет. Универсальная защита для Windows ME — Vista» и следовать рекомендациям, описанным в этой книге.
Полезная информация (на англ. яз):
Malware_Prevention:_Prevent_Re-infection
Malware Removal and Prevention Overview
Чистого вам интернета!Здравствуйте, Riff. Добро пожаловать на форум.
Сначала нужно отключить автозапуск со съемных носителей. чтобы в процессе лечения снова не заражаться.
Скопируйте приведенный ниже текст в блокнот и сохраните файл как noautorun.reg, примените.Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesCdrom]
"AutoRun"=dword:00000000
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionpoliciesExplorer]
"NoDriveTypeAutoRun"=dword:000000ff
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionIniFileMappingAutorun.inf]
@="@SYS:DoesNotExist"
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAutoplayHandlersCancelAutoplayFiles]
"*.*"=""Далее скачайте Flash Drive Disinfector и запустите утилиту (не забудьте подключить флешки и/или другие съемные носители) — утилита создает на дисках папки с именем autorun.inf (папка будет содержать файл lpt3.this folder was created by flash_disinfector), это предотвратит запись на диски и съемные носители файлов autorun.inf
Отключите восстановление системы: Нажмите правой кнопкой мыши на ярлыке Мой компьютер, выберите Свойства, на вкладке Восстановление системы поставьте галочку Запpетить восстановление системных файлов на всех дисках, нажмите Пpименить.
Очистите временные файлы через Пуск-Программы-Стандартные-Служебные-Очистка диска и с помощью ATF Cleaner
— скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
— если вы используете Firefox, нажмите Firefox — Select All — Empty Selected
— нажмите No, если вы хотите оставить ваши сохраненные пароли
— если вы используете Opera, нажмите Opera — Select All — Empty Selected
— нажмите No, если вы хотите оставить ваши сохраненные пароли
Теперь приступим к самому лечению.
— Скачайте AVZ и распакуйте.
— Запустите AVZ и обновите базы (Файл — Обновление баз). Выберите из меню Файл — Стандартные скрипты и поставьте галку напротив 3-го скрипта и нажмите «Выполнить отмеченные скрипты». После выполнения скрипта обязательно перезагрузите компьютер.
— Вложите в следующее сообщение файл virusinfo_sysinfo.htm или virusinfo_syscure.zip из каталога AVZLOGЗдравствуйте, yabybnb. Добро пожаловать на форум!
Скачайте OTMoveIt3 by OldTimer и сохраните на рабочий стол.
Запустите OTMoveIt3.exe (в ОС Vista необходимо запускать через прав. кн. мыши от имени администратора)
Временно отключите антивирус. Выделите и скопируйте текст ниже (Ctrl+C)
:Processes
explorer.exe
:Reg
[-HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects{9C1B758C-AB58-4F3C-B562-31D9A8FF3129}]
[-HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects{A2BC7E73-7606-4C03-B215-E6B1EAD0265E}]
[-HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects{EF2F27EF-105F-4322-86B3-A4CBD8A13938}]
[-HKEY_CLASSES_ROOTCLSID{9C1B758C-AB58-4F3C-B562-31D9A8FF3129}]
[-HKEY_CLASSES_ROOTCLSID{A2BC7E73-7606-4C03-B215-E6B1EAD0265E}]
[-HKEY_CLASSES_ROOTCLSID{EF2F27EF-105F-4322-86B3-A4CBD8A13938}]
:Files
C:Documents and SettingsAll UsersApplication Datayknlib.dll
C:Documents and SettingsAll UsersApplication Datalzolib.dll
C:Documents and SettingsAll UsersApplication Datacwhlib.dll
:Commands
[purity]
[emptytemp]
[start explorer]
[Reboot]
В OTMoveIt3 под панелью «Paste Instructions for Items to be Moved» (под желтой панелью) выберите «вставить» и нажмите кнопку «MoveIt!». Выделите и скопируйте (Ctrl+C) текст из окна под панелью «Results» (правая зеленая панель) в следующее сообщение.
Прим: Если файлы и папки не могут быть перемещены немедленно и появиться запись, потребуется перезагрузка. После перезагрузки откройте папку «C:_OTMoveItMovedFiles», найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение.
Скачайте Malwarebytes’ Anti-Malware здесь, здесь, здесь или здесь. Установите, обновите базы, выберите Perform Full Scan (Провести полную проверку), нажмите Scan (Проверить), после сканирования выберите Ок и далее Show Results (Показать результаты), нажмите «Remove Selected» (Удалить выделенные). После удаления откройте лог и скопируйте в сообщение. Логи сканирования можно посмотреть во вкладке Logs (Отчеты), выбрав отчет и нажав кнопку Open (Открыть).Скачайте RSIT, сохраните на рабочий стол и запустите, когда закончится процесс сканирования, откроются два файла log.txt и info.txt, скопируйте (Ctrl+A, Ctrl+C) текст из этих файлов и вставьте (Ctrl+V) в следующее сообщение, если текст не уместится в одном сообщении, продолжите его в следующем или запакуйте файлы c:log.txt и c:info.txt и прикрепите к сообщению.
Здравствуйте Roza.
Согласен с Valeri, у вас действительно опасный и трудно удаляемый зловред Baegle.
Кроме логов combofix (саму утилиту перед запуском переименуйте в combo-fix.exe), давайте ещё поступим так:
В самой программе Malwarebytes’ Anti-Malware (МВАМ) есть во вкладке Settings — Language выберите язык Русский, так вам вероятно будет удобнее, далее во вкладке Утилиты есть, ниже FileASSASIN, кнопка Запустить, нажмите её, найдите файлы которые нашел МВАМ и попробуйте удалить. Удалите также файлы (если найдутся)C:WINDOWSsystem32drivershldrrr.exe
C:WINDOWSsystem32driversmdelk.exe
C:WINDOWSsystem32driverssrosa.sys
C:WINDOWSsystem32driverssrosa2.sys
C:WINDOWSsystem32wintems.exe
C:WINDOWSsystem32driverswinfilse.exeСледующий шаг:
Cкачайте полимормфный AVZ, переименованный в game.pif здесь, сохраните в отдельную папку и запустите. обновлять антивирусные базы для этой версии не требуется.
далее в меню файл — выполнить скрипт, выделите и скопируйте текст ниже в окно выполнения скрипта AVZ, временно выключите антивирус, firewall и другое защитное программное обеспечение, отключите интернет (или включите временно брандмауэр windows), нажмите кнопку «Запустить».begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('%System32%driverssrosa.sys','');
QuarantineFile('%System32%driverssrosa2.sys','');
QuarantineFile('%System32%drivershldrrr.exe','');
QuarantineFile('%System32%wintems.exe','');
QuarantineFile('%System32%driversmdelk.exe','');
QuarantineFile('%System32%mdelk.exe','');
QuarantineFile('%System32%driverswinfilse.exe','');
DeleteFile('%System32%driverswinfilse.exe');
DeleteFile('%System32%drivershldrrr.exe');
DeleteFile('%System32%driverssrosa.sys');
DeleteFile('%System32%driverssrosa2.sys');
DeleteFile('%System32%wintems.exe');
DeleteFile('%System32%driversmdelk.exe');
DeleteFile('%System32%mdelk.exe');
BC_ImportALL;
ExecuteSysClean;
If DirectoryExists('%System32%driversdown') then
begin
DeleteFileMask('%System32%driversdown', '*.*', true);
DeleteDirectory('%System32%driversdown');
If DirectoryExists('%System32%driversdown') then
AddToLog('Папка down не удалена') else AddToLog('Папка down удалена');
end
else
AddToLog('Папки down нет');
If DirectoryExists('%System32%driversdownld') then
begin
DeleteFileMask('%System32%driversdownld', '*.*', true);
DeleteDirectory('%System32%driversdownld');
If DirectoryExists('%System32%driversdownld') then
AddToLog('Папка downld не удалена') else AddToLog('Папка downld удалена');
end
else
AddToLog('Папки downld нет');
If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWAREMicrosoftWindowsCurrentVersionRun', 'drvsyskit') then
begin
AddToLog('Обнаружен параметр в реестре drvsyskit');
RegKeyParamDel('HKEY_CURRENT_USER', 'SOFTWAREMicrosoftWindowsCurrentVersionRun', 'drvsyskit');
If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWAREMicrosoftWindowsCurrentVersionRun', 'drvsyskit') then
AddToLog('Ошибка удаления параметра drvsyskit') else
AddToLog('Параметр drvsyskit успешно удален');
end;
If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWAREMicrosoftWindowsCurrentVersionRun', 'german.exe') then
begin
AddToLog('Обнаружен параметр в реестре german.exe');
RegKeyParamDel('HKEY_CURRENT_USER', 'SOFTWAREMicrosoftWindowsCurrentVersionRun', 'german.exe');
If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWAREMicrosoftWindowsCurrentVersionRun', 'german.exe') then
AddToLog('Ошибка удаления параметра german.exe') else
AddToLog('Параметр german.exe успешно удален');
end;
if RegKeyExists('HKEY_CURRENT_USER', 'SoftwareFirstRRRun') then
begin
AddToLog('Найден ключ реестра FirstRRRun');
RegKeyDel('HKEY_CURRENT_USER', 'SoftwareFirstRRRun');
If RegKeyExists('HKEY_CURRENT_USER', 'SoftwareFirstRRRun') then
AddToLog('Ошибка удаления ключа реестра FirstRRRun') else
AddToLog('ключ реестра FirstRRRun успешно удален');
end;
BC_DeleteSvc('srosa');
BC_LogFile(GetAVZDirectory + 'boot_clr_B_d.log');
If BC_Activate then AddToLog('BootCleaner успешно активирован') else AddToLog('Внимание!!! BootCleaner не активирован!');
SaveLog(GetAVZDirectory + 'B_d.txt');
RebootWindows(true);
end.После перезагрузки повторите ещё раз выполение этого скрипта.
Логи будут сохранены: B_d.txt и boot_clr_B_d.log от Бутклинера в папке AVZ прикрепите их к сообщению.Скачайте SDFix, загрузитесь в безопасном режиме, запустите утилиту (запустить RunThis.bat — подтвердить, нажав «Y»), после окончания сканирования скопируйте (Ctrl+A, Ctrlv+C) текст из C:Report.txt и вставьте (Ctrl+V) в следующее сообщение, если текст не уместится в одном сообщении, продолжите его в следующем или запакуйте файл C:Report.txt и прикрепите к сообщению.
Описание SDFix есть здесь
Если не будет загружаться безопасный режим, запустите AVZ (game.pif) в меню файл — восстановление системы — отметьте галочкой п.10.Восстановление настроек загрузки в SafeMode и нажмите Выполнить отмеченные операции, после этого попробуйте загрузиться в безопасном режиме и запустить SDFix.
Запустите ещё раз game.pif. Выберите из меню Файл — Стандартные скрипты и поставьте галку напротив 3-го скрипта и нажмите «Выполнить отмеченные скрипты». После выполнения скрипта обязательно перезагрузите компьютер. Вложите в следующее сообщение файл virusinfo_sysinfo.htm или virusinfo_syscure.zip из каталога AVZLOGЛоги чистые. Насчет NetBios, с помощью встроенных средств windows закрыть порты 137-139 вы не сможете, но вы можете закрыть доступ извне с помощью встроенного брандмауэра windows или стороннего файервола и более обезопасить систему, выполнив следующее
в настройках сетевых подключений удалите или снимите галочку (если не используете) Клиент для сетей Microsoft, Служба доступа к файлам и принтерам сетей Microsoft, NWLink IPX/SPX/NetBIOS – совместимый транспортный протокол, во вкладке Протокол Интернета (TCP/IP) – Дополнительно – WINS – отключите NetBios через TCP/IP , уберите галочку с «Включить просмотр LMHOSTS»
Отключите службы
Обозреватель компьютеров
Модуль поддержки NetBios через TCP/IP
TCP/IP NetBIOS HelperКстати, что значит «записать на загрузочный диск»? Это специальный способ записи?
Обычный способ — интеграция нужного ПО при создании загрузочного диска. О том как создавать загрузочные диски есть очень много статей в интернете, например Windows XPE Live CD .:[все вопросы]:.
Cureit нужно было предварительно распаковать, иначе при запуске ему некуда будет самораспаковываться (т.к. загрузились с CD)А AVZ (temp.pif) уже тоже не запускается? Переименованный combo-fix тоже?
Запустите OTMoveIt3 (в ОС Windows Vista необходимо запускать через правую кн. мыши от имени администратора)
временно выключите антивирус, firewall и другое защитное программное обеспечение. Выделите и скопируйте текст ниже (Ctrl+C)
:Processes
explorer.exe
winfilse.exe
:Services
sK9Ou0s
:files
c:windowssystem32driverswinfilse.exe
C:WINDOWSsystem32wintems.exe
C:WINDOWSsystem32driverssrosa.sys
C:WINDOWSsystem32driverssrosa2.sys
C:WINDOWSsystem32driversmdelk.exe
C:WINDOWSsystem32drivershldrrr.exe
C:windowssystem32hidr.exe
c:documents and settingslidia.homeapplication datamflec006.exe
C:WINDOWSsystem32driversdownld
C:WINDOWSsystem32driversdown
:Commands
[purity]
[emptytemp]
[start explorer]
[Reboot]
В OTMoveIt3 под панелью «Paste Instructions for Items to be Moved» (под желтой панелью) вставьте скопированный текст и нажмите кнопку «MoveIt!». Выделите (Ctfl+A) и скопируйте (Ctrl+C) текст из окна под панелью «Results» (правая зеленая панель) в следующее сообщение.
Прим: Если файлы и папки не могут быть перемещены немедленно и появиться запись, потребуется перезагрузка. После перезагрузки откройте папку «C:_OTMoveItMovedFiles», найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение.
Если и это не поможет, попробуйте воспользоваться утилитой FxBeagle или скачайте на чистой системе CureIT![/url:1y8q0dju], распакуйте, например с помощью winrar, запишите на загрузочный диск, загрузитесь с CD и проверьте компьютер, можете воспользоваться готовым Dr.Web LiveCDУ вас два антивируса, это может привести к конфликтам ПО, оставьте один антивирус, рекомендую Kaspersky Internet Security
проверьте файлы
D:WINDOWSsystem32ijjiSetup.exe
D:WINDOWSsystem32ijjiPlugin2.dll
на virscan.org или virustotal.com, результат скопируйте сюда или выложите ссылку на результат проверки.
Free Keylogger — сами ставили?
Для защиты от вирусов типа autorun.inf рекомендую отключить автозапуск.
Скопируйте приведенный ниже текст в блокнот и сохраните файл как noautorun.reg, примените.Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesCdrom]
"AutoRun"=dword:00000000
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionpoliciesExplorer]
"NoDriveTypeAutoRun"=dword:000000ff
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionIniFileMappingAutorun.inf]
@="@SYS:DoesNotExist"
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAutoplayHandlersCancelAutoplayFiles]
"*.*"=""Скачайте Flash Drive Disinfector и запустите утилиту (не забудьте подключить флешки и/или другие съемные носители) — утилита создает на дисках папки с именем autorun.inf (папка будет содержать файл lpt3.this folder was created by flash_disinfector), это предотвратит запись на диски и съемные носители файлов autorun.inf
Запустите OTMoveIt3 (в ОС Windows Vista необходимо запускать через правую кн. мыши от имени администратора)
временно выключите антивирус, firewall и другое защитное программное обеспечение. Выделите и скопируйте текст ниже (Ctrl+C)
:Processes
explorer.exe
:files
D:WINDOWSsystem32MSVCR32.DLL
C:Documents and Settings??Local SettingsTempinit.exe
:reg
[HKEY_LOCAL_MACHINEsystemcurrentcontrolsetservicessharedaccessparametersfirewallpolicystandardprofileauthorizedapplicationslist]
"C:Documents and Settings??Local SettingsTempinit.exe"=-
[-HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{c6ca7297-7db8-11dd-b0f1-00e04d0d1fe3}]
:Commands
[purity]
[emptytemp]
[start explorer]
[Reboot]
В OTMoveIt3 под панелью «Paste Instructions for Items to be Moved» (под желтой панелью) вставьте скопированный текст и нажмите кнопку «MoveIt!». Выделите (Ctfl+A) и скопируйте (Ctrl+C) текст из окна под панелью «Results» (правая зеленая панель) в следующее сообщение.
Прим: Если файлы и папки не могут быть перемещены немедленно и появиться запись, потребуется перезагрузка. После перезагрузки откройте папку «C:_OTMoveItMovedFiles», найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение.
