[SolarSpark]

Доброго дня

Уберите virusinfo_cure.zip из вложения!
не путайте карантин с нужными для анализа virusinfo_syscure.zip, virusinfo_syscheck.zip

проверьте на http://www.virustotal.com следующие файлы
ссылки на проверку сюда

Цитата:

E:\tlf_new\Win_Coder\BdeInst.dll C:\WINDOWS\system32\drivers\dgderdrv.sys C:\La2\system\npkycryp.sys

Вы делали проверку Combofix? приложите лог

Обновите Internet Explorer до IE8
Обновляем систему до SP3. Service Pack 3 (может потребоваться активация)

Отключите:
Компьютер от интернета/локальной сети
Антивирус/Файерволл

AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
 SetServiceStart('Winkr30', 4);
 SetServiceStart('Winne40', 4);
 QuarantineFile('C:\WINDOWS\svchost.exe','');
 QuarantineFile('SDEvents.dll','');
 QuarantineFile('E:\tlf_new\Win_Coder\BdeInst.dll','');
 QuarantineFile('C:\WINDOWS\system32\Drivers\Winne40.sys','');
 QuarantineFile('C:\WINDOWS\system32\Drivers\Winkr30.sys','');
 DeleteFile('C:\WINDOWS\system32\Drivers\Winkr30.sys');
 DeleteFile('C:\WINDOWS\system32\Drivers\Winne40.sys');
 DeleteFile('C:\WINDOWS\svchost.exe');
 DeleteService('Winkr30');
 DeleteService('Winne40');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится!

После перезагрузки выполните такой скрипт:

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин.Отправьте c:\quarantine.zip при помощи этой формы

Пофиксить в HijackThis следующие строчки:

Код:

R3 - URLSearchHook: (no name) - - (no file)
O2 - BHO: (no name) - AutorunsDisabled - (no file)
O18 - Protocol: AutorunsDisabled - (no CLSID) - (no file)
O24 - Desktop Component AutorunsDisabled: (no name) - (no file)

http://www.smaxi.net сами выставляли стартовой страницей в браузере?

Цитата:

ProxyServer = http=67.23.18.233:8080;ftp=67.23.18.233:8080;https=67.23.18.233:8080

- ваши настройки?
195.58.1.117 l2authd.lineage2.com сами в Hosts добавляли?

Повторить логи с обновленными базами! + новый лог RSIT

[slir_slir]

Спасибо за работу!
Извините, что задержался с ответом (хотя, конечно, в первую очередь я заинтересованное лицо)

1. Отправить quarantine.zip не получается, т.к. он больше разрешенного размера
2. ProxyServer не мой - поэтому пофиксил
3. 195.58.1.117 - адрес игрушки жены
4. R3,o2,o17,024 - пофиксил
5. Основной скрипт выполнил
6. Файлы на сайте проверил - нормально

Почти все хорошо (т.е. IE и KIS отработали),
но не обновляется AVZ (ошибка [21,00002EFD]

[SolarSpark]

Вы проходите лечение одновременно на двух ресурсах, что является недопустимым. Выберете, пожалуйста, ресурс, на котором хотите продолжить лечение.

[slir_slir]

Выбираю вас !!!

Помогите!

Во-первых непонятно, что все-таки с AVZ
Во-вторых - окна стали открываться очень медленно!!!

P.S. Простите, но припекло так, что хотелось обратиться хоть куда, лишь бы помогло.

Но ведь ваши и другие ответы не противоречили друг-другу, а только дополнили.
Хотя - все равно чо-то у меня не так

Еще раз извините ...

[SolarSpark]

Почему IE не обновили, не говоря уже о SP3?
обновите Adobe Reader или деинсталлируйте.
Поймите, все рекомендации даются не просто так-это пути закрытия уязвимостей, иначе есть риск быть постоянным нашим пациентом!

Пофиксить в HijackThis следующие строчки:

Код:

O18 - Protocol: AutorunsDisabled - (no CLSID) - (no file)
O24 - Desktop Component AutorunsDisabled: (no name) - (no file)

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно.Загрузить обновление MBAM.

лог Combofix приложите ! он у вас лежит здесь C:\ComboFix.txt

[slir_slir]

День добрый!
Adobe удалил, потом установлю новый. R18, 24 - пофиксил
протоколы Combofix и MBAM прикладываю

[SolarSpark]

Проверьте на http://www.virustotal.com файл

Код:

c:\windows\regedit.exe

ссылку на результат запостите здесь

ваши файлы?

Код:

C:\Program Files\Uninstall Tool\utool.exe.BAK
C:\Downloads\Iam.The.Best_Platinum.Hide.IP.2.0.8.2.Port\Iam.The.Best_Platinum.Hide.IP.2.0.8.2.Port\PlatinumHideIP\PlatinumHideIP.exe.BAK

Удалите в МБАМ все найденное, кроме

Код:

Объекты реестра заражены:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.

Код:

KillAll::
	
FCopy::
c:\windows\system32\dllcache\beep.sys | c:\windows\System32\drivers\beep.sys

RegLock::
[HKEY_USERS\S-1-5-21-329068152-1957994488-839522115-1003\Software\Microsoft\SystemCertificates\AddressBook*]

RegLockDel::
[HKEY_USERS\S-1-5-21-329068152-1957994488-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{3F7CF783-FC3B-21BF-8539-F7A6323EE4EE}*]
RegNull::
[HKEY_USERS\S-1-5-21-329068152-1957994488-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{3F7CF783-FC3B-21BF-8539-F7A6323EE4EE}*]
Reboot::

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.

[slir_slir]

День добрый!

Regedit проверил:
--------------------------
File name:
regedit.exe
Submission date:
2011-02-09 02:13:35 (UTC)
Current status:
finished
Result:
0/ 43 (0.0%)
---------------------------

2 файла (указанные) удалил

в МБАМ все выполнил

скрипт в ComboFix выполнил (правда попросила обновить в процессе выполнения, что и сделал)


AVZ как не обновлялся, так и ...

[SolarSpark]

Цитата slir_slir:

AVZ как не обновлялся »

Касперский обновляется? попробуйте его отключить и обновите базы AVZ/
Если не поможет, обновите базы с другой ОС и сделайте контрольные логи AVZ.

Далее, c:\windows\System32\drivers\beep.sys не найден. Это может быть особенностью сборки ОС. У вас сборка?
Рекомендую восстановить файл с аналогичной ОС или с дистрибутива в папку c:\windows\System32\drivers\ и папку c:\windows\system32\dllcache\

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.

Код:

KillAll::

RegLock::
[HKEY_USERS\S-1-5-21-329068152-1957994488-839522115-1003\Software\Microsoft\SystemCertificates\AddressBook*]

Reboot::

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.