Добавьте недостающий том AVP Tool.part004.rar

Отключите автозапуск со всех устройств, кроме CD-DVD привода, для этого выполните скрипт в AVZ

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".
begin
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTyp eAutoRun',223);
end.

Удалите всё что нашел MBAM и заново запустите сканирование.

Fedin,
не было 4ого архива я на три разбивал)... ссылка на фалообменник в пр.посту.
проверил MBAM - по нулям

После сканирования AVP Tool удалили все зараженные файлы?
Автозапуск отключили скриптом?

Сделайте контрольные логи AVZ и RSIT

Проблемы еще есть?

После сканирования AVP Tool удалили все зараженные файлы? »
хммм. затрудняюсь ответить...) тыкал чето ночью вроде удалял... где у него карантин?)
за сегодня вроде признаков заражения не наблюдал
логи прилагаю

• Выполните скрипт AVZ
Перед выполнением скрипта отключите защитное ПО (антивирус, файрволл)

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\Windows\System32\drivers\ykwgja.sys','');
DeleteFile('C:\Windows\System32\drivers\ykwgja.sys');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится!

После перезагрузки выполните такой скрипт

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин.Отправьте c:\quarantine.zip при помощи этой (http://www.oszone.net/virusnet/) формы

Повторите лог AVZ, но только стандартный скрипт №2

Безопасный режим работает?

Fedin,
первый скрипт выполнил,
карантин запаковал, но он весит 40 мб - форма дооолго думает... принимать его походу отказывается...
да и уже 3 раза отправлял чего то никто не отписывается по этому поводу... или это как то по другому работает? :unsure:
щас попробую в БР зайти...
лог прилагаю.

Лог чистый, проблем больше не вижу.
карантин запаковал, но он весит 40 мб - форма дооолго думает... принимать его походу отказывается... »
В таком случае не надо отправлять.


Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду Combofix /Uninstall, нажмите кнопку "ОК"
http://virusnet.info/images/combofix-uninstall.jpg

Скачайте OTCleanIt (http://oldtimer.geekstogo.com/OTC.exe) или с зеркала (http://virusnet.info/forum/downloads.php?do=file&id=19&act=down), запустите, нажмите Clean up


Создайте новую контрольную точку восстановления и удалите зараженную:
1. Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно - Восстановление системы нажмите Очистить
2. Нажмите Пуск- Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать.

Скачайте ATF Cleaner (http://www.atribune.org/public-beta/ATF-Cleaner.exe), запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
если вы используете Firefox, нажмите Firefox - Select All - Empty Selected
нажмите No, если вы хотите оставить ваши сохраненные пароли
если вы используете Opera, нажмите Opera - Select All - Empty Selected
нажмите No, если вы хотите оставить ваши сохраненные пароли.

все штоле?) :drug:
Спасибо огромное человеческое!!!!
Посоветуйте по защите: стоял когда то nod (отказался), потом перешел на outpost пир нем то и все произошло и последний мой выбор пал на касперского - и все молчали как проклятые?!...
... ну ниче еще 2 станции чистить... ладно один нэтбук хотя бы: второй ББ снесу нафиг все равно там ось загажена в конец... кстати зараза походу оттуда и пришла.
В БР так и не загружается:
раньше вис и ребутился на win\system32\drivers\classpnp.sys
щас classpnp.sys загружается, но следом за ним теперь(по мойму как раз после того как выполнил скрипт на восстановление загрузки БР в AVZ) появилось нечто
win\system32\drivers\92765402.sys который загружается с некоторой задержкой, но на "добро пожаловать" уходим в ребут.

Значит с Safe Mode проблем нет?

В win7 это находится в другом месте кстати в FAQ неточность через пуск там только создать можно: св-ва мой компьютер - дополнительные параметры - защита системы - настроить - удалить »

Никакой ошибки в faq нет, через пуск -- программы можно и очистить и создать новую контрольную точку. Можно и так, как вы говорите через свойства мой компьютер.


Для предотвращения заражения рекомендую вам придерживаться этих правил:
1.Всегда работайте только под обычным пользователем!
2.Используйте браузер Firefox с дополнением NoScript (https://addons.mozilla.org/ru/firefox/addon/722/)
Если вы используете браузер Internet Explorer, отключите в нем ActiveX (Сервис -> свойства обозревателя -> безопасность -> другой -> запуск элементов ActiveX и модулей подключения
3.Устанавливайте обновления и патчи Windows.
4.Ежедневно обновляйте антивирусные базы.
5.Никогда не устанавливайте два антивируса или сетевых экрана (файрвол).

Помимо антивируса, проверяйте систему на присутствие вредоносных программ утилитой Dr.Web Cureit (http://www.freedrweb.com/cureit/)

Fedin,
по FAQ сообразил: извиняюсь - непоглазам было...
нет Safe Mode- не грузится: редактировал пред.пост...
и еще:
после применения combofix вылезли системные папки в корнях дисков (Boot, MSOCache, Recovery, ProgramData и тп ) - просто скрыть?

после применения combofix вылезли системные папки в корнях диска (Boot, MSOCache, Recovery, ProgramData и тп ) - просто скрыть? »
Да, это системные папки.

появилось нечто win\system32\drivers\92765402.sys - драйвер AVP Tool
Деинталлируйте AVP Tool
После этого пробуйте грузиться

Fedin,
хмм... а как?!) када закрывал AVP он предлагал деинсталировать себя, что я и сделал... щас повторно установлил/ удалил но драйвер остался...

тут их аж 3... это подя я чет наустанавливал:
\Windows\System32\drivers\
9279540.sys
92795401.sys
92795402.sys
Попробовал удалять файлы в ручную: таже ситуация - ребут на экране приветствия, вернул файлы обратно

• Выполните скрипт AVZ
AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".
begin
ExecuteRepair(10);
end.

Попробуйте загрузиться в безопасном режиме.

Fedin,
не загружается - ребут на экране приветствия,

пуск -- выполнить -- regedit

Экспортируйте эту ветку реестра и прикрепите к сообщению.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot

Экспортируйте эту ветку реестра и прикрепите к сообщению.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot »

Подготовьте пожалуйста лог ComboFix, возможно что-то осталось.

Скачайте ComboFix здесь (http://subs.geekstogo.com/ComboFix.exe), здесь (http://download.bleepingcomputer.com/sUBs/ComboFix.exe) или здесь (http://www.forospyware.com/sUBs/ComboFix.exe) и сохраните на рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

Подробнее в "ComboFix. Руководство по применению." (http://virusnet.info/forum/showthread.php?t=2773)

лог ComboFix

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.

KillAll::

File::
C:\x4fjd75d.exe

Driver::

Folder::


Registry::

FileLook::

DirLook::

RegLock::
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]

FCopy::



После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
http://virusnet.info/images/cfscript.gif
Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.

Также сделайте проверку MBAM

выполнил