вирус заражает остальные программы

koss · Отправлено: **21:06, 06-04-2010** | #11

PHP код:


Постарайтесь ничего не запускать из оставшихся программ

немогу так как сейчас стоит только архиватор, браузер ивиндовс медиа плеер

Drongo · Конфигурация компьютера

koss, Ну так и отлично, скачиваете эти утилиты - их устанавливаете - проверяете комп и если всё чисто, тогда запускайте, если нет - пробуйте пролечить(утилиты предложат лечение) - если лечение невозможно - удаляйте заражённые объекты.

akok · Отправлено: **12:52, 07-04-2010** | #13

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:

begin
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
end.

koss · Отправлено: **13:43, 09-04-2010** | #14

подскажите всё было нормально установил програмы и пользовался пару дней и тут опять началось
програму AVZ только открываю как она сразуже закрывается а потом её совсем нельзя открыть, тоже самое и с HijackThis правда ней раз успел просканировать, вот логи посмотрите может что-то (уже и архивы почемуто немогу прикрепить он нехочет братся)
вот логи что в середине написано
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:15:37, on 09.04.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\Samsung\PanelMgr\ssmmgr.exe
C:\Program Files\USBDiskSecurity\USBGuard.exe
C:\Program Files\Yandex\Punto Switcher\punto.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\antivi\HijackThis\HijackThis.exe
C:\Program Files\Mozilla Firefox\firefox.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.inet123.ru
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
O2 - BHO: IE 4.x-6.x BHO for Download Master - {9961627E-4059-41B4-8E0E-A7D6B3854ADF} - C:\PROGRA~1\DOWNLO~1\dmiehlp.dll
O3 - Toolbar: DAEMON Tools Toolbar - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files\DAEMON Tools Toolbar\DTToolbar.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Samsung PanelMgr] C:\WINDOWS\Samsung\PanelMgr\ssmmgr.exe /autorun
O4 - HKLM\..\Run: [USB Antivirus] C:\Program Files\USBDiskSecurity\USBGuard.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKUS\S-1-5-20\..\RunOnce: [IE8_01] regsvr32 /s /n /i:u shell32 (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-20\..\RunOnce: [IE8_02] rundll32 advpack.dll,LaunchINFSectionEx IE8int.inf,AfterUserStart,,4,N (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\RunOnce: [IE8_02] rundll32 advpack.dll,LaunchINFSectionEx IE8int.inf,AfterUserStart,,4,N (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [IE8_02] rundll32 advpack.dll,LaunchINFSectionEx IE8int.inf,AfterUserStart,,4,N (User 'Default user')
O4 - Startup: Punto Switcher.lnk = C:\Program Files\Yandex\Punto Switcher\punto.exe
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Закачать ВСЕ при помощи Download Master - C:\Program Files\Download Master\dmieall.htm
O8 - Extra context menu item: Закачать при помощи Download Master - C:\Program Files\Download Master\dmie.htm
O9 - Extra button: Download Master - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - C:\Program Files\Download Master\dmaster.exe
O9 - Extra 'Tools' menuitem: &Download Master - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - C:\Program Files\Download Master\dmaster.exe
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe
O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS\system32\imapi.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe
O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe

--
End of file - 3513 bytes

Drongo · Конфигурация компьютера

koss, попробуйте сделать логи полиморфной версие - Полиморфная версия AVZ

Цитата koss:

уже и архивы почемуто немогу прикрепить он нехочет братся »

залейте на файлообменник - www.webfile.ru архивы

koss · Отправлено: **15:50, 09-04-2010** | #16

вот закрепил с 5 попытки HijackThis

koss · Отправлено: **15:52, 09-04-2010** | #17

Цитата:

попробуйте сделать логи полиморфной версие - Полиморфная версия AVZ

там написано что файл уже удалён

Drongo · Конфигурация компьютера

koss, А эту версию - (от 31.03.10)

koss · Отправлено: **17:27, 09-04-2010** | #19

этим просканировал. у меня почемуто немогу некуда прикрепить, прийшлось розархивировать и запаковать в rar

Drongo · Конфигурация компьютера

koss, Вот такие рекомендации

• Скрипт AVZ.
Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 StopService('abp470n5');
 SetServiceStart('abp470n5', 4);
 DeleteService('abp470n5');
 QuarantineFile('C:\WINDOWS\system32\drivers\ppkmp.sys','');
 DeleteFile('C:\WINDOWS\system32\drivers\ppkmp.sys');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteRepair(11);
 ExecuteRepair(17);
RebootWindows(true);
end.

После всех процедур выполните скрипт

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин quarantine.zip. Отправьте полученный файл quarantine.zip из папки AVZ через данную форму. В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus" (без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Результаты ответа, сообщите здесь, в теме.

После выполнения скрипта - не запускайте ничего - скачайте\запишите LiveCD -> Dr.Web LiveCD. Загрузитесь с него и проведите проверку и лечение компьютера.

Так же проверьтесь утилитой CureIT или Kaspersky Virus Removal Tool

Повторите логи...