[zirreX]

Добавьте недостающий том AVP Tool.part004.rar

Отключите автозапуск со всех устройств, кроме CD-DVD привода, для этого выполните скрипт в AVZ

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".

Код:

begin          
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun',223);                                                                      
end.

Удалите всё что нашел MBAM и заново запустите сканирование.

[moonis]

Fedin,
не было 4ого архива я на три разбивал)... ссылка на фалообменник в пр.посту.
проверил MBAM - по нулям

[zirreX]

После сканирования AVP Tool удалили все зараженные файлы?
Автозапуск отключили скриптом?

Сделайте контрольные логи AVZ и RSIT

Проблемы еще есть?

[moonis]

Цитата Fedin:

После сканирования AVP Tool удалили все зараженные файлы? »

хммм. затрудняюсь ответить...) тыкал чето ночью вроде удалял... где у него карантин?)
за сегодня вроде признаков заражения не наблюдал
логи прилагаю

[zirreX]

• Выполните скрипт AVZ
Перед выполнением скрипта отключите защитное ПО (антивирус, файрволл)

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\Windows\System32\drivers\ykwgja.sys','');
DeleteFile('C:\Windows\System32\drivers\ykwgja.sys');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится!

После перезагрузки выполните такой скрипт

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин.Отправьте c:\quarantine.zip при помощи этой формы

Повторите лог AVZ, но только стандартный скрипт №2

Безопасный режим работает?

[moonis]

Fedin,
первый скрипт выполнил,
карантин запаковал, но он весит 40 мб - форма дооолго думает... принимать его походу отказывается...
да и уже 3 раза отправлял чего то никто не отписывается по этому поводу... или это как то по другому работает?
щас попробую в БР зайти...
лог прилагаю.

[zirreX]

Лог чистый, проблем больше не вижу.

Цитата moonis:

карантин запаковал, но он весит 40 мб - форма дооолго думает... принимать его походу отказывается... »

В таком случае не надо отправлять.


Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду Combofix /Uninstall, нажмите кнопку "ОК"


Скачайте OTCleanIt или с зеркала, запустите, нажмите Clean up


Создайте новую контрольную точку восстановления и удалите зараженную:
1. Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно - Восстановление системы нажмите Очистить
2. Нажмите Пуск- Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать.

Скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
если вы используете Firefox, нажмите Firefox - Select All - Empty Selected
нажмите No, если вы хотите оставить ваши сохраненные пароли
если вы используете Opera, нажмите Opera - Select All - Empty Selected
нажмите No, если вы хотите оставить ваши сохраненные пароли.

[moonis]

все штоле?)
Спасибо огромное человеческое!!!!
Посоветуйте по защите: стоял когда то nod (отказался), потом перешел на outpost пир нем то и все произошло и последний мой выбор пал на касперского - и все молчали как проклятые?!...
... ну ниче еще 2 станции чистить... ладно один нэтбук хотя бы: второй ББ снесу нафиг все равно там ось загажена в конец... кстати зараза походу оттуда и пришла.
В БР так и не загружается:
раньше вис и ребутился на win\system32\drivers\classpnp.sys
щас classpnp.sys загружается, но следом за ним теперь(по мойму как раз после того как выполнил скрипт на восстановление загрузки БР в AVZ) появилось нечто
win\system32\drivers\92765402.sys который загружается с некоторой задержкой, но на "добро пожаловать" уходим в ребут.

[zirreX]

Значит с Safe Mode проблем нет?

Цитата moonis:

В win7 это находится в другом месте кстати в FAQ неточность через пуск там только создать можно: св-ва мой компьютер - дополнительные параметры - защита системы - настроить - удалить »

Никакой ошибки в faq нет, через пуск -- программы можно и очистить и создать новую контрольную точку. Можно и так, как вы говорите через свойства мой компьютер.


Для предотвращения заражения рекомендую вам придерживаться этих правил:
1.Всегда работайте только под обычным пользователем!
2.Используйте браузер Firefox с дополнением NoScript
Если вы используете браузер Internet Explorer, отключите в нем ActiveX (Сервис -> свойства обозревателя -> безопасность -> другой -> запуск элементов ActiveX и модулей подключения
3.Устанавливайте обновления и патчи Windows.
4.Ежедневно обновляйте антивирусные базы.
5.Никогда не устанавливайте два антивируса или сетевых экрана (файрвол).

Помимо антивируса, проверяйте систему на присутствие вредоносных программ утилитой Dr.Web Cureit

[moonis]

Fedin,
по FAQ сообразил: извиняюсь - непоглазам было...
нет Safe Mode- не грузится: редактировал пред.пост...
и еще:
после применения combofix вылезли системные папки в корнях дисков (Boot, MSOCache, Recovery, ProgramData и тп ) - просто скрыть?