[acid_vision]

логи

[Котяра]

acid_vision, по логам есть следы Dr.Web и AntiVir. У Вас оба стоят?

[acid_vision]

Котяра,я удалила Dr.Web и Eset Nod32 и установила AntiVir...но Dr.Web наверно как-то не так,раз он еще где-то фигурирует????

Pili


Файл quarantine.zip отправьте на newvirus@kaspersky.com, в письме укажите пароль virus, когда придет ответ, сообщите, можете отправить также в вирлаб DrWeb

ответ:Здравствуйте,

В присланном Вами файле не найдено ничего вредоносного.

[akok]

Цитата acid_vision:

Котяра,я удалила Dr.Web и Eset Nod32 и установила AntiVir...но Dr.Web наверно как-то не так,раз он еще где-то фигурирует???? »

Для удаления Dr.web воспользуйтесь утилитой

[acid_vision]

akok,спасибо!!

[akok]

Давайте еще посмотрим:
Скачайте DDS или с зеркала и сохраните на рабочий стол, отключите антивирус и запустите dds.scr, когда сканирование закончится, запакуйте файлы из файлов DDS.txt и Attach.txt и вложите в сообщение.

Скачайте Gmer или с зеркала. Запустите программу. После автоматической экспресс-проверки, отметьте галочкой все жесткие диски и нажмите на кнопку Scan. После окончания проверки сохраните его.

[Pili]

Очень похоже что блокируется запись в реестре и изменение hosts файла. Вы защитное ПО отключали на время выполнения скрипта?
У вас Avira и DrWeb активны, есть ещё Spybot - Search & Destroy (и в нем teatimer - отключите временно), в Avira в настройках не установлена защита hosts файла? Если да -отключите.
Нажмите пуск - выполнить - скопируйте в строчку

Код:

attrib -r -s -h C:\WINDOWS\system32\drivers\etc\hosts

и нажмите enter
Файл c:\windows\RiiQ.exe проверьте на virustotal.com и дайте ссылку на результат проверки.
Отключите защитное ПО и выполните скрипт в AVZ

Код:

begin
 ExecuteRepair(13);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
end.

Отключите автозапуск
Распакуйте файл AutorunDisabled.zip и примените reg файл

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
временно выключите антивирус, firewall и другое защитное программное обеспечение

Код:

Folder::
c:\program files\SiteAccess

FileLook::
c:\windows\RiiQ.exe

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe



Когда сохранится новый отчет ComboFix, скопируйте (Ctrl+A, Ctrl+C) текст из C:\ComboFix.txt и вставьте (Ctrl+V) в следующее сообщение если текст не уместится в одном сообщении, продолжите его в следующем или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.

Создайте новую контрольную точку восстановления и очистите предыдущие:
- Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно-Восстановление системы нажмите Очистить
- Нажмите Пуск- Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать

В AVZ включите AVZM (см. правила) и сделайте новый лог virusinfo_syscheck.zip

[acid_vision]

Цитата Pili:

Нажмите пуск - выполнить - скопируйте в строчку Код: attrib -r -s -h C:\WINDOWS\system32\drivers\etc\hosts »

не поняла куда это копировать???

c:\windows\RiiQ.exe я попыталась проверить этот файл,но в этот же момент антивирус выдал,что это файл может нанести вред,я его отправила в карантин,попробовла еще раз проверить на virustotal.com,но там какая-то ошибка,а сейчас файла вообще нет в папке windows...

[thyrex]

Цитата acid_vision:

не поняла куда это копировать??? »

Нажмите кнопку Пуск - выберите пункт Выполнить - вставьте указанную Вам строку

Код:

attrib -r -s -h C:\WINDOWS\system32\drivers\etc\hosts

[akok]

Цитата acid_vision:

c:\windows\RiiQ.exe я попыталась проверить этот файл,но в этот же момент антивирус выдал,что это файл может нанести вред,я его отправила в карантин,попробовла еще раз проверить на virustotal.com,но там какая-то ошибка,а сейчас файла вообще нет в папке windows... »

Поищите в карантине антивируса. Кстати как он назвал файл?

Цитата acid_vision:

не поняла куда это копировать??? »

(система на методику не влияет)



Вот как-то так