[goredey]

MadMax1982, AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('c:\temp\clhexayv.sys','');
 DeleteFile('c:\temp\clhexayv.sys');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин quarantine.zip. Полученный архив отправьте по этой форме

Пофиксить в HijackThis следующие строчки

Код:

 O2 - BHO: (no name) - AutorunsDisabled - (no file)
O9 - Extra button: (no name) - AutorunsDisabled - (no file)
O9 - Extra button: (no name) - DctMapping - (no file)
O9 - Extra button: (no name) - AutorunsDisabled - (no file) (HKCU)
O24 - Desktop Component 0: (no name) - (no file)

Проверьте на вирустотал этот файл

Код:

c:\program files\toolbho\module.dll

Ссылку на результат запостите здесь!


Повторите логи
+

Скачайте RSIT или отсюда. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.
+


Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) . Откройте лог и скопируйте в сообщение.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

[MadMax1982]

1. Файл quarantine.zip отправил
2. Ссылка Вирустотал - http://www.virustotal.com/file-scan/...c3e-1298857598
3. Логи прицепил
4. Сообщение MBAM

Код:

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Database version: 5750

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

28.02.2011 9:22:36
mbam-log-2011-02-28 (09-22-12).txt

Scan type: Full scan (C:\|D:\|F:\|H:\|)
Objects scanned: 265063
Time elapsed: 16 minute(s), 47 second(s)

Memory Processes Infected: 0
Memory Modules Infected: 0
Registry Keys Infected: 9
Registry Values Infected: 0
Registry Data Items Infected: 1
Folders Infected: 1
Files Infected: 13

Memory Processes Infected:
(No malicious items detected)

Memory Modules Infected:
(No malicious items detected)

Registry Keys Infected:
HKEY_CLASSES_ROOT\CLSID\{F0E06662-71F5-4fb0-A9A2-70DBA996EAC3} (Adware.LinkPlacing) -> No action taken.
HKEY_CLASSES_ROOT\TypeLib\{4ECB0173-D952-42C3-802A-E3B04E5AD127} (Adware.LinkPlacing) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{CAFDA1CA-DD5F-41DC-BE5D-9E06E01E510C} (Adware.LinkPlacing) -> No action taken.
HKEY_CLASSES_ROOT\LinkPlacing.LPBHOImpl.1 (Adware.LinkPlacing) -> No action taken.
HKEY_CLASSES_ROOT\LinkPlacing.LPBHOImpl (Adware.LinkPlacing) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{F0E06662-71F5-4FB0-A9A2-70DBA996EAC3} (Adware.LinkPlacing) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{F0E06662-71F5-4FB0-A9A2-70DBA996EAC3} (Adware.LinkPlacing) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{F0E06662-71F5-4FB0-A9A2-70DBA996EAC3} (Adware.LinkPlacing) -> No action taken.
HKEY_CLASSES_ROOT\AppID\LinkPlacing.DLL (Adware.LinkPlacing) -> No action taken.

Registry Values Infected:
(No malicious items detected)

Registry Data Items Infected:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\StartMenuLogoff (PUM.Hijack.StartMenu) -> Bad: (1) Good: (0) -> No action taken.

Folders Infected:
c:\documents and settings\User\application data\winxrar (Trojan.Agent) -> No action taken.

Files Infected:
c:\program files\ToolBHO\module.dll (Adware.LinkPlacing) -> No action taken.
c:\WINDOWS\system32\green fields 3d.scr (Malware.Packer.Gen) -> No action taken.
d:\Distr\site\wsex5files\keygen website x5 rus.exe (Trojan.Dropper.PGen) -> No action taken.
d:\мои документы\Проги\norton windoctor\Stubs\1727fadf1eabcb14d58c4ee39ebd78bacfe10ea\REGWDOC.EXE (Trojan.Backdoor) -> No action taken.
d:\мои документы\Проги\norton windoctor\Stubs\c4dedf3f4df0882dd06f93ca88316ea38192dce0\windoc.exe (Trojan.Backdoor) -> No action taken.
d:\мои документы\Проги\norton windoctor\Stubs\dbfaa46b6d7e2fdb8e943531ec634229cdd6ab19\SymUndo.exe (Trojan.Backdoor) -> No action taken.
c:\documents and settings\User\application data\winxrar\dot.gif (Trojan.Agent) -> No action taken.
c:\documents and settings\User\application data\winxrar\htmlayout.dll (Trojan.Agent) -> No action taken.
c:\documents and settings\User\application data\winxrar\key (Trojan.Agent) -> No action taken.
c:\documents and settings\User\application data\winxrar\left.png (Trojan.Agent) -> No action taken.
c:\documents and settings\User\application data\winxrar\rules.css (Trojan.Agent) -> No action taken.
c:\documents and settings\User\application data\winxrar\s.htm (Trojan.Agent) -> No action taken.
c:\documents and settings\User\application data\winxrar\sview (Trojan.Agent) -> No action taken.

Все, что нашел MBAM - убил. Надо было?

[goredey]

MadMax1982, удалите в МВАМ

Код:

Registry Keys Infected:
HKEY_CLASSES_ROOT\CLSID\{F0E06662-71F5-4fb0-A9A2-70DBA996EAC3} (Adware.LinkPlacing) -> No action taken.
HKEY_CLASSES_ROOT\TypeLib\{4ECB0173-D952-42C3-802A-E3B04E5AD127} (Adware.LinkPlacing) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{CAFDA1CA-DD5F-41DC-BE5D-9E06E01E510C} (Adware.LinkPlacing) -> No action taken.
HKEY_CLASSES_ROOT\LinkPlacing.LPBHOImpl.1 (Adware.LinkPlacing) -> No action taken.
HKEY_CLASSES_ROOT\LinkPlacing.LPBHOImpl (Adware.LinkPlacing) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{F0E06662-71F5-4FB0-A9A2-70DBA996EAC3} (Adware.LinkPlacing) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{F0E06662-71F5-4FB0-A9A2-70DBA996EAC3} (Adware.LinkPlacing) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{F0E06662-71F5-4FB0-A9A2-70DBA996EAC3} (Adware.LinkPlacing) -> No action taken.
HKEY_CLASSES_ROOT\AppID\LinkPlacing.DLL (Adware.LinkPlacing) -> No action taken.

Registry Values Infected:
(No malicious items detected)

Registry Data Items Infected:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\StartMenuLogoff (PUM.Hijack.StartMenu) -> Bad: (1) Good: (0) -> No action taken.

Folders Infected:
c:\documents and settings\User\application data\winxrar (Trojan.Agent) -> No action taken.

Files Infected:
c:\program files\ToolBHO\module.dll (Adware.LinkPlacing) -> No action taken.

d:\мои документы\Проги\norton windoctor\Stubs\1727fadf1eabcb14d58c4ee39ebd78bacfe10ea\REGWDOC.EXE (Trojan.Backdoor) -> No action taken.
d:\мои документы\Проги\norton windoctor\Stubs\c4dedf3f4df0882dd06f93ca88316ea38192dce0\windoc.exe (Trojan.Backdoor) -> No action taken.
d:\мои документы\Проги\norton windoctor\Stubs\dbfaa46b6d7e2fdb8e943531ec634229cdd6ab19\SymUndo.exe (Trojan.Backdoor) -> No action taken.
c:\documents and settings\User\application data\winxrar\dot.gif (Trojan.Agent) -> No action taken.
c:\documents and settings\User\application data\winxrar\htmlayout.dll (Trojan.Agent) -> No action taken.
c:\documents and settings\User\application data\winxrar\key (Trojan.Agent) -> No action taken.
c:\documents and settings\User\application data\winxrar\left.png (Trojan.Agent) -> No action taken.
c:\documents and settings\User\application data\winxrar\rules.css (Trojan.Agent) -> No action taken.
c:\documents and settings\User\application data\winxrar\s.htm (Trojan.Agent) -> No action taken.
c:\documents and settings\User\application data\winxrar\sview (Trojan.Agent) -> No action taken.

Смните все ваши пароли!


Пофиксить в HijackThis следующие строчки

Код:

O24 - Desktop Component 0: (no name) - (no file)

Что с проблемой?

[MadMax1982]

goredey, все удалил, в HijackThis строчку пофиксил, но она не исчезла после повторного сканирования.

Проблема не исправилась. Что делать?

[SolarSpark]

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:

begin
ExecuteRepair(1);
RebootWindows(true);
end.

Если ассоциации не восстановятся, выполните твик реестра. скопируйте этот код в блокнот, сохраните под любым именем с расширением .reg
Кликните по файлу и подтвердите добавление в реестр.

Код:

Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOT\.exe]
@="exefile"
"Content Type"="application/x-msdownload"

[HKEY_CLASSES_ROOT\.exe\PersistentHandler]
@="{098f2470-bae0-11cd-b579-08002b30bfeb}"

[HKEY_CLASSES_ROOT\exefile]
@="Application"
"EditFlags"=hex:38,07,00,00
"TileInfo"="prop:FileDescription;Company;FileVersion"
"InfoTip"="prop:FileDescription;Company;FileVersion;Create;Size"

[HKEY_CLASSES_ROOT\exefile\DefaultIcon]
@="%1"

[HKEY_CLASSES_ROOT\exefile\shell]

[HKEY_CLASSES_ROOT\exefile\shell\open]
"EditFlags"=hex:00,00,00,00

[HKEY_CLASSES_ROOT\exefile\shell\open\command]
@="\"%1\" %*"

[HKEY_CLASSES_ROOT\exefile\shell\runas]

[HKEY_CLASSES_ROOT\exefile\shell\runas\command]
@="\"%1\" %*"

[HKEY_CLASSES_ROOT\exefile\shellex]

[HKEY_CLASSES_ROOT\exefile\shellex\DropHandler]
@="{86C86720-42A0-1069-A2E8-08002B30309D}"

[HKEY_CLASSES_ROOT\exefile\shellex\PropertySheetHandlers]

[HKEY_CLASSES_ROOT\exefile\shellex\PropertySheetHandlers\PEAnalyser]
@="{09A63660-16F9-11d0-B1DF-004F56001CA7}"

[HKEY_CLASSES_ROOT\exefile\shellex\PropertySheetHandlers\PifProps]
@="{86F19A00-42A0-1069-A2E9-08002B30309D}"

[HKEY_CLASSES_ROOT\exefile\shellex\PropertySheetHandlers\ShimLayer Property Page]
@="{513D916F-2A8E-4F51-AEAB-0CBC76FB1AF8}"

[Katharsis]

лог mbam повторите

[MadMax1982]

Все сделал, ничего не поменялось
Лог MBAM:

Код:

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Версия базы данных: 5750

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

03.03.2011 11:33:53
mbam-log-2011-03-03 (11-33-48).txt

Тип сканирования: Полное сканирование (C:\|D:\|F:\|)
Просканированные объекты: 264848
Времени прошло: 16 минут, 11 секунд

Заражённые процессы в памяти: 0
Заражённые модули в памяти: 0
Заражённые ключи в реестре: 0
Заражённые параметры в реестре: 0
Объекты реестра заражены: 0
Заражённые папки: 0
Заражённые файлы: 3

Заражённые процессы в памяти:
(Вредоносных программ не обнаружено)

Заражённые модули в памяти:
(Вредоносных программ не обнаружено)

Заражённые ключи в реестре:
(Вредоносных программ не обнаружено)

Заражённые параметры в реестре:
(Вредоносных программ не обнаружено)

Объекты реестра заражены:
(Вредоносных программ не обнаружено)

Заражённые папки:
(Вредоносных программ не обнаружено)

Заражённые файлы:
d:\Distr\Office\pdf\adobe acrobat 8 professional\keygen_zwt_adobe_acrobat_8_professional.exe (Backdoor.Bot) -> No action taken.
d:\Distr\Office\pdf\adobe acrobat 8 professional\аctivate.exe (Trojan.Downloader) -> No action taken.
d:\мои документы\Проги\norton windoctor\Stubs\dbfaa46b6d7e2fdb8e943531ec634229cdd6ab19\SymUndo.exe (Trojan.Backdoor) -> No action taken.

[Katharsis]

Цитата MadMax1982:

перестали открываться exe-файлы, а именно файлы DOS-программ »

Так что именно у вас не открывается?
восстановление файловых ассоциаций

[goredey]

Цитата:Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

Подробнее в "ComboFix. Руководство по применению."