Вчера вставил переносной хард который использовал на рабочем компе и там все в ярлыках, все папки все файлы. т.е. при клике на ярлык папки открывается cmd строка а потом уже папка. в итоге проверяя комп AVG инт сесурите я не чего не обнаружил,но при в ходе в нэт сразу появились просящиеся подключения к нэту(stepx2.exe)и многое другое в основном расположено в этой папке (C:\Users\Златамамапапа\Start Menu\Programs\Startup) при удаление ее она появляется заново.подскажите что хард придется форматировать в итоге? там 9гб фотографий дочки от 0-1года( не хотелось бы терять . если как-то можно выгнать вирус без потерь данных подскажите и помогите заранее благодарен!!!!

Отключите:
Антивирус/Файерволл

AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.


begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\users\Златамамапапа\appdata\roaming\317c.exe');
QuarantineFile('C:\Windows\Temp\TS_54A4.tmp','');
QuarantineFile('C:\Windows\Temp\TS_65A6.tmp','');
QuarantineFile('K:\autorun.inf','');
QuarantineFile('c:\users\Златамамапапа\appdata\roaming\317c.exe','');
QuarantineFile('C:\Users\Златамамапапа\AppData\Roaming\Jioaoj.exe','');
DeleteFile('C:\Users\Златамамапапа\AppData\Roaming\Jioaoj.exe');
DeleteFile('C:\Users\Златамамапапа\AppData\Roaming\Qioaoq.exe');
DeleteFile('C:\Windows\Temp\TS_54A4.tmp');
DeleteFile('C:\Windows\Temp\TS_65A6.tmp');
DeleteFile('K:\autorun.inf');
DeleteFileMask('c:\users\Златамамапапа\appdata\roaming', '???.exe', false);
DeleteFileMask('c:\users\Златамамапапа\appdata\roaming', '????.exe', false);
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Qioaoq');
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTyp eAutoRun', 221);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.



После выполнения скрипта компьютер перезагрузится!

После перезагрузки выполните такой скрипт:

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин.Отправьте quarantine.zip при помощи этой (http://www.oszone.net/virusnet/) формы. В теле письма укажите свой ник на форуме и ссылку на тему

Пофиксить в HijackThis (http://forum.oszone.net/post-1430293-2.html) следующие строчки (если будут):
O4 - HKCU\..\Run: [Jioaoj] C:\Users\Златамамапапа\AppData\Roaming\Jioaoj.exe
O4 - HKCU\..\Run: [Qioaoq] C:\Users\Златамамапапа\AppData\Roaming\Qioaoq.exe

Сделайте повторные логи AVZ + RSIT

Скачайте Malwarebytes' Anti-Malware (http://www.besttechie.net/mbam/mbam-setup.exe) или с зеркала (http://download.bleepingcomputer.com/malwarebytes/mbam-setup.exe), установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. http://data.mbamupdates.com/tools/mbam-rules.exe Загрузить обновление MBAM
_____________________________________________________________________________

подскажи а скриптить надо с подключенным хардом?

Да конечно

ребят у меня несколько раз при скрипте выдавало вот такую ошибку(устройство не готово; возможно дверца открыта . Проверьте наличие диска в устройстве \Device\Harddiskl\DRl, а также положение дверцы устройство)
но при неоднократном нажатии "повторить" прошло.
отправил файл как сказал(quarantine.zip)
теперь сканируется, но это походу на долго и уже нашел 2 инфецир. объекта.
при сканировании не нашел этих файлов
(O4 - HKCU\..\Run: [Jioaoj] C:\Users\Златамамапапа\AppData\Roaming\Jioaoj.exe
O4 - HKCU\..\Run: [Qioaoq] C:\Users\Златамамапапа\AppData\Roaming\Qioaoq.exe)ну я думаю это хорошо!)
спс огромное за помощь SolarSpark. как + тебе благодарностью?

ну я думаю это хорошо!) »
отработал скрипт))

ждем лог МВАМ (ничего сами не удаляйте!) выложите лог сюда

как + тебе благодарностью? »
внизу любого сообщения есть кнопа "полезное сообщение"

понял!

ну уже прогресс, уже нет не санкционированных запросов к подключению в нэт.

но 1. вот папка появляется постоянно при перезагрузки(C:\Users\Златамамапапа\Start Menu\Programs\Startup\WINLOGONs)
2.папки в виде ярлыков так и остались(,хотя пробовал 4х гиговую (чистую)пробовал создавал папку ,извлекал-встовлял папка не превратилась в ярлык.

скорее всего будет сканировать всю ночь. до сих пор диск С сканит , а еще и хард.

вот если есть эта папка C:\Users\Златамамапапа\Start Menu\Programs\Startup\WINLOGONs) »
должен по идее быть и c:\users\Златамамапапаь\start menu\programs\startup\winlogons.exe, его надо удалить

но я у вас его в логах не нахожу

давайте МВАМ дождемся, потом разберемся с диском-это самое простое-поверьте мне

плин! после 2 часов сканирования появился черный экран потом сразу синий квадрат по центру с текстом и сразу перезагрузился пк. я успел разглядеть только одно слово что вроде Карнель мув. вроде так. Это что то страшное?

загрузка произошла нормально?

отложим МВАМ пока

давайте такой лог, съемный диск не отключайте,
утром отвечу
Скачайте ComboFix здесь (http://subs.geekstogo.com/ComboFix.exe), здесь (http://download.bleepingcomputer.com/sUBs/ComboFix.exe) или здесь (http://www.forospyware.com/sUBs/ComboFix.exe) и сохраните на рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Примечание: В случае, если ComboFix не запускается, переименуйте combofix.exe. Например: temp.exe

Подробнее в "ComboFix. Руководство по применению." (http://safezone.cc/forum/showthread.php?t=2773)

ребят ! проблема при ПРИ ПОЛНОМ сканировании после 2 часов сканирования появляется черный экран потом сразу синий квадрат по центру с текстом и сразу перезагружается пк, но в процессе когда сканирует показана 2 инфец. объекта,но при остальных режимах все норм и не чего не заражено. Что делать ?

Лог работы комбофикса выложите

а что это комбофикс?

о сори все нашел!

вот кое-как сделал! постоянно антивирус мешал пришлось его снести.(

Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду Combofix /Uninstall, нажмите кнопку "ОК"
http://safezone.cc/images/combofix-uninstall.jpg

Скачайте OTCleanIt (http://oldtimer.geekstogo.com/OTC.exe) или с зеркала (http://safezone.cc/forum/downloads.php?do=file&id=19&act=down), запустите, нажмите Clean up

проверку МВАМ пробуйте провести в безопасном режиме, маловероятнее выпадение в синяк, а лог посмотреть очень нужно

раз выпадаете в BSOD при проверке МВАМ давайте глянем ваш файл minidump

Включите запись дампов памяти. Для этого нажмите клавиши win+pause ("+" нажимать не нужно), откройте вкладку "дополнительно" - "загрузка и восстановление" в разделе "отказ системы " отметьте "записать событие в системный журнал" в поле "запись отладочной информации " выберите "малый дамп памяти" в следующем поле - укажите папку для сохранения (по умолчанию это C:\windows\minidump).
При включении записи минидампов в случае перезагрузок/отключений/синих экранов будет создана папка C:\windows\minidump, в которой появятся файлы с расширением .dmp Их также нужно будет приложить к теме.

все сделал как Вы сказали! все получилось в безопасном режиме. не выкинуло,прошло норм.

дамп не могу выложить пишет нет прав!но там все равно старые сохранения. вчерашние сохранки.

доктаай, нет прав для чего? под админом папку открывали?
как стать владельцем файла или папки (http://safezone.cc/forum/showpost.php?p=1307&postcount=1%22)

В мвам тоже ничего интересного.

(C:\Users\Златамамапапа\Start Menu\Programs\Startup\WINLOGONs) вот эта папка продолжает появляться?

давайте повторим логи AVZ+RSIT и начнем заниматься cо съемным диском

1. у меня нет (В окне открытой папки в меню "Сервис" выбрать подменю "Свойства папки".) может потому что у меня ос вин7.
2.(C:\Users\Златамамапапа\Start Menu\Programs\Startup\WINLOGONs) вот эта папка продолжает появляться? нет.все норм пропала!
3.давайте повторим логи AVZ+RSIT и начнем заниматься cо съемным диском » начиню делать.
4. а вот что Зараженные файлы: 6 которые нашел МВАМ. что с ними делать?