[iskander-k]

• Очистите временные файлы через Пуск - Программы - Стандартные - Служебные - Очистка диска или с помощью ATF Cleaner.
- Скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
- Если вы используете Firefox, нажмите Firefox - Select All - Empty Selected.
- Нажмите No, если вы хотите оставить ваши сохраненные пароли.
- Если вы используете Opera, нажмите Opera - Select All - Empty Selected.
- Нажмите No, если вы хотите оставить ваши сохраненные пароли.

• Скрипт AVZ.
Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
QuarantineFile('C:\WINDOWS\system32\ylvmzmc.dll','');
 QuarantineFile('C:\System Volume Information\_restore{6F7189A3-E019-4A2A-B0F6-94F801D10369}\RP16\A0003985.exe','');
QuarantineFile('C:\Documents and Settings\Admin\Local Settings\Temp\Toolbar.exe','');
QuarantineFile('C:\WINDOWS\SYSWOW64\874.tmp','');
QuarantineFile('C:\WINDOWS\SYSWOW64\ylvmzmc.dll','');
DeleteFile('C:\WINDOWS\SYSWOW64\874.tmp');
DeleteFile('C:\WINDOWS\SYSWOW64\ylvmzmc.dll');
DeleteFile('C:\System Volume Information\_restore{6F7189A3-E019-4A2A-B0F6-94F801D10369}\RP16\A0003985.exe');
 DeleteFile('C:\WINDOWS\system32\ylvmzmc.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После всех процедур выполните скрипт

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин quarantine.zip. Полученный архив отправьте через форму или на quarantine<at>safezone.cc (at=@)с указанной ссылкой на тему и вашим ником(именем на форуме). в названии темы укажите - "Проверка карантина". В теле сообщения укажите адрес своей темы и ник форуме. Результаты ответа, сообщите здесь, в теме.



• HiJackThis. Нужно пофиксить эти строки в HiJackThis. Выставив галочки напротив этих пунктов и нажмите кнопку Fix Checked. Как пофиксить в HijackThis

Код:

O20 - AppInit_DLLs: C:\WINDOWS\system32\ylvmzmc.dll

• Скачайте Malwarebytes Anti-Malware, установите, обновите базы, выберите Perform Full Scan, нажмите Scan, после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в сообщение.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

После всех процедур выполните новые логи АВЗ.

[archon86]

iskander-k,

Цитата:

HiJackThis. Нужно пофиксить эти строки в HiJackThis. Выставив галочки напротив этих пунктов и нажмите кнопку Fix Checked. Как пофиксить в HijackThis Код: O20 - AppInit_DLLs: C:\WINDOWS\system32\ylvmzmc.dll

у меня нет такого кода

http://forum.oszone.net/attachment.p...1&d=1311306292

[alex_sev]

Хорошо, продолжайте выполнять рекомендации

[iskander-k]

Цитата archon86:

у меня нет такого кода »

Не страшно значит АВЗ почистил.
А карантина я не вижу.Который просил

Цитата iskander-k:

В результате выполнения скрипта будет сформирован карантин quarantine.zip. Полученный архив отправьте через форму или на quarantine<at>safezone.cc (at=@)с указанной ссылкой на тему и вашим ником(именем на форуме). в названии темы укажите - "Проверка карантина". В теле сообщения укажите адрес своей темы и ник форуме. Результаты ответа, сообщите здесь, в теме. »

[archon86]

iskander-k,

Цитата iskander-k:

Результаты ответа, сообщите здесь, в теме »

а где я должен получить результаты ответа? архив прилагаю! лог мбама тоже на всякий случай!

[iskander-k]

Цитата archon86:

а где я должен получить результаты ответа? архив прилагаю! »

результаты я вам скажу , архив нужно отправить используя указанную форму или е-майл.
проверьте на http://www.virustotal.com/index.html
файлы

f:\WINDOWS\system32\ctfmon.exe
c:\program files\Braid 1.014\braid.exe

в случае положительного результата тоже удалите в МБАМ

в МБАМ удалите указанное ниже, для этого снова запустите проверку и выберите после сканирования - Ok - Show Results (показать результаты) - нажмите Remove Selected (удалить выделенные). Для исключения из удаления снимаете галки с чекбокса у нужной вам строки. Для удаления галку оставляете.

Код:

c:\system volume information\_restore{6f7189a3-e019-4a2a-b0f6-94f801d10369}\RP17\A0004358.dll (Spyware.OnLineGames) -> No action taken.
c:\system volume information\_restore{6f7189a3-e019-4a2a-b0f6-94f801d10369}\RP8\A0001090.exe (PUP.SmsPay.Gen) -> No action taken.
d:\program files\QIP\Users\220740023\rcvdfiles\408273499_???????\keygen.exe (RiskWare.Tool.CK) -> No action taken.
d:\WINDOWS\system32\ctfmon.exe (Trojan.FakeMS) -> No action taken.
d:\WINDOWS\system32\dllcache\iissync.exe (Virus.Expiro) -> No action taken.
e:\documents and settings\?????????????\application data\desktopicon\ebayshortcuts.exe (Adware.ADON) -> No action taken.
e:\documents and settings\?????????????\application data\QIP\Profiles\sierena8080\rcvdfiles\~???-???~_411819252\Keygen.exe (RiskWare.Tool.CK) -> No action taken.
e:\WINDOWS\system32\PKey.exe (PUP.PSWTool.ProductKey) -> No action taken.
f:\WINDOWS\system32\dllcache\iissync.exe (Virus.Expiro) -> No action taken.
g:\archon\Dist\001\avz4\quarantine\2011-07-22\avz00001.dta (Spyware.OnLineGames) -> No action taken.
g:\archon\Dist\001\avz4\quarantine\2011-07-22\avz00002.dta (Spyware.OnLineGames) -> No action taken.

Все что удаляется в МБАМ можно восстановить через вкладку "Карантин"

[archon86]

iskander-k,
Всё поудалял, инет работает и окна не вылазят!! Спасибо большое)