[iskander-k]

Где лог RSIT ?

Сделайте еще лог Universal Virus Sniffer (UVS)

Скачайте Universal Virus Sniffer (UVS)

Как подготовить лог UVS

Извлеките UVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".

Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
___________________
!!!Внимание. Если у вас установлены архиваторы WinRAR или 7Zip, то UVS в автоматическом режиме упакует лог в архив иначе это будет необходимо сделать вам вручную.

Дождитесь окончания работы программы и прикрепите лог к посту в теме.


___________________
!!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".

[kliver]

Вот все логи.

[iskander-k]

1. Удалите Adobe Flash Player через панель удаления программ.

2 Выполните

• Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  
  
  
  
• Скопируйте скрипт
  
  
  Код:

  ;uVS v3.74 script [http://dsrt.dyndns.org]
  ;Target OS: NTv6.1
  
  ; C:\WINDOWS\SYSTEM32\MACROMED\FLASH\FLASHPLAYERUPDATESERVICE.EXE
  zoo %Sys32%\MACROMED\FLASH\FLASHPLAYERUPDATESERVICE.EXE
  addsgn 1A41D19A5583E98CF42B627DA8049949018E0B378AFA1F78F1E74FBDD31770C8E3638DA0FF569D492BF56B9A461649FAF07BCC7255DAB0A18953A42FC706A972 64 CLICKER
  
  zoo %SystemDrive%\USERS\0\APPDATA\LOCAL\TEMP\LPZPY.BAT
  delall %SystemDrive%\USERS\0\APPDATA\LOCAL\TEMP\LPZPY.BAT
  zoo %SystemDrive%\USERS\0\APPDATA\ROAMING\MACROMEDIA.EXE
  delall %SystemDrive%\USERS\0\APPDATA\ROAMING\MACROMEDIA.EXE
  zoo %Sys32%\MACROMED\FLASH\FLASH10D.OCX
  delall %Sys32%\MACROMED\FLASH\FLASH10D.OCX
  zoo %Sys32%\MACROMED\FLASH\NPSWF32_11_2_202_235.DLL
  delall %Sys32%\MACROMED\FLASH\NPSWF32_11_2_202_235.DLL
  zoo %Sys32%\FlashPlayerApp.exe
  delall %Sys32%\FlashPlayerApp.exe
  restart

• Выберите меню "Скрипт" => Выполнить скрипт находящийся в буфере обмена..."
  
  

После выполнения скрипта зайдите в папку где распакована UVS найдите архив имя которого отвечает дате и времени запуска скрипта (например:2011-06-30_22-04-27.7z) если архив отсутствует, то заархивруйте папку ZOO с паролем virus. И отправьте на адрес quarantine<at>safezone.cc(at=@) в заголовке (теме) письма укажите ссылку на тему где вам оказывается помощь.

• Скрипт AVZ.
Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.

Код:

begin
SetAVZGuardStatus(True);
 QuarantineFile('C:\USERS\0\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\ADOBEUPDATE.LNK','');
 DeleteFile('C:\USERS\0\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\ADOBEUPDATE.LNK');
 DeleteFileMask('C:\bvXEJzs97sedUCO', '*.*', true); 
 DeleteFileMask('C:\4MiUz9yfB0EhqRv', '*.*', true);
 DeleteDirectory('C:\bvXEJzs97sedUCO');
DeleteDirectory('C:\4MiUz9yfB0EhqRv');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После всех процедур выполните скрипт

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин.Отправьте quarantine.zip при помощи этой формы. В теле письма укажите свой ник на форуме и ссылку на тему и её название.

Сделайте повторные логи AVZ + RSIT

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. http://data.mbamupdates.com/tools/mbam-rules.exe Загрузить обновление MBAM

[kliver]

Все еще тормозит. Но если компьютер поработает какое то время то загруженность процессора пропадает.

[iskander-k]

Выполните скрипт

Код:

begin
SetAVZGuardStatus(True);
 QuarantineFile('C:\ProgramData\ezsidmv.dat','');
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Отправьте карантин по указанной выше форме

Лог МБАМ где ?

[kliver]

mdam

[iskander-k]

Удалите в МБАМ

Код:

C:\Users\0\AppData\Roaming\igfxtray.dat (Malware.Trace) -> Действие не было предпринято.

[kliver]

Это я сделал. После этого у меня перестало распознавать блютуз мышку и отключилась служба DHCP-клиент что привело к запрету доступа в интернет.

[iskander-k]

Перед применением скрипта создайте новую точку восстановления.!!


Нужно восстановить winsock.

По инструкции http://safezone.cc/forum/showthread.php?t=156
также можете воспользоваться службой Microsoft Fix

или

Выполните в UVS

Код:

;uVS v3.74 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1

EXEC cmd /c"netsh winsock reset catalog"


restart

Предупреждение. Выполнение команды netsh winsock reset может плохо отразиться на программах, которые используют или контролируют доступ к Интернету, например на антивирусных программах, брандмауэрах или прокси-клиентах. В случае неправильной работы одной из этих программ после использования рассматриваемого метода переустановите программу, чтобы восстановить ее работоспособность.