[Erekle]

[стёр]

[Pili]

FreeSoul, В меню AVZ - файл - выполнить скрипт – выделить и скопировать текст ниже (методом Ctrl+C/Ctrl+V или с помощью прав. кн. мыши копировать/вставить) в окно выполнения скрипта AVZ и нажать кнопку «Запустить»

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\appkc32.dll','');
 QuarantineFile('C:\winstall.exe','');
 QuarantineFile('C:\Program Files\SpySheriff\SpySheriff.exe','');
 QuarantineFile('C:\WINDOWS\crha32.exe','');
 QuarantineFile('C:\DOCUME~1\TPRITC~1\LOCALS~1\Temp\A.tmp.exe','');
 QuarantineFile('C:\DOCUME~1\TPRITC~1\LOCALS~1\Temp\9.tmp.exe','');
 DeleteFile('C:\DOCUME~1\TPRITC~1\LOCALS~1\Temp\A.tmp.exe');
 DelBHO('{55631A23-8A44-6ECD-6BD7-705877180E2C}');
 DeleteFile('C:\DOCUME~1\TPRITC~1\LOCALS~1\Temp\9.tmp.exe');
 DeleteFile('C:\WINDOWS\crha32.exe');
 DeleteFile('C:\winstall.exe');
 DeleteFile('C:\WINDOWS\system32\appkc32.dll');
 DeleteFile('C:\Program Files\SpySheriff\SpySheriff.exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится. После перезагрузки выполнить ещё скрипт

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Файл quarantine.zip выслать на user15802[at]mail.ru или выложить на ifolder.ru или slil.ru или другой файлообменник и дать ссылку на него в ПМ, в теле письма указать ссылку на тему.
Запустите файл hijackthis.exe, нажмите кнопку "Do a system scan only", в открывшемся окне поставьте галочки напротив указанных строк и нажмите кнопку "Fix Checked"

Код:

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\xskvg.dll/sp.html#12047
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: Class - {55631A23-8A44-6ECD-6BD7-705877180E2C} - C:\WINDOWS\system32\appkc32.dll (file missing)
O4 - HKLM\..\Run: [crha32.exe] C:\WINDOWS\crha32.exe
O4 - HKLM\..\Run: [A.tmp] C:\DOCUME~1\TPRITC~1\LOCALS~1\Temp\A.tmp.exe
O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe

удалить полностью папку
C:\Program Files\SpySheriff\
скопируйте текст ниже в блокнот, сохраните как fix.reg и примените

Код:

REGEDIT4

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\HSA]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SE]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SW]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\9.tmp]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\9.tmp.exe]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\A.tmp.exe]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\F]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{a1c5c2d0-90c3-11dc-aebe-0090270f91ad}]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SpySheriff]

Повторите логи

Цитата Erekle:

В Hijack This откройте раздел Open Misc Tools section. Нажать кнопку "Delete an NT service" button. Скопируйте в окошко: 11F?a #·?AO`I »

службы каждый раз по-разному наз-ся

[Erekle]

Цитата Pili:

службы каждый раз по-разному наз-ся »

А, понял (к тому же я продублировал в Службах.мсц )

Pili, там, может быть, ещё надо было разрегистрировать
Search Extender --> rundll32 url.dll,FileProtocolHandler "http://looking-for.cc/uninstall/SearchExtender.html"
Shopping Wizard --> rundll32 url.dll,FileProtocolHandler "http://looking-for.cc/uninstall/ShoppingWizard.html"

- но я как-то не осилил.

[Pili]

Erekle, угу,
тогда ещё

Код:

REGEDIT4

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\HSA]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SE]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SW]

добавил в свой предыдущий пост
И просканировать систему с помощью Ad-Aware или Spybot S&D

[PavelA_VI]

Восстановление системы не отключено, надо отключить, а то все лечение может пойти коту под хвост.

[FreeSoul]

Не смогла отметить галочками вот эти пункты в

Цитата Pili:

Запустите файл hijackthis.exe, нажмите кнопку "Do a system scan only", в открывшемся окне поставьте галочки напротив указанных строк и нажмите кнопку "Fix Checked" »

Цитата Pili:

O2 - BHO: Class - {55631A23-8A44-6ECD-6BD7-705877180E2C} - C:\WINDOWS\system32\appkc32.dll (file missing) O4 - HKLM\..\Run: [crha32.exe] C:\WINDOWS\crha32.exe O4 - HKLM\..\Run: [A.tmp] C:\DOCUME~1\TPRITC~1\LOCALS~1\Temp\A.tmp.exe O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe »

У меня этих пунктов почему-то просто нет.

Цитата Pili:

удалить полностью папку C:\Program Files\SpySheriff\ »

Этой папочки тоже нет.

Цитата Pili:

В Hijack This откройте раздел Open Misc Tools section. Нажать кнопку "Delete an NT service" button. Скопируйте в окошко: 11F?a #·?AO`I » »

Когда ввожу "11F?a #·?AO`I " выскакивает ошибка, что не найдено.

К сожалению, все остальные операции я проделала, но ничего не помогло.

[Erekle]

Цитата FreeSoul:

O2 - BHO: Class - {55631A23-8A44-6ECD-6BD7-705877180E2C} - C:\WINDOWS\system32\appkc32.dll (file missing) O4 - HKLM\..\Run: [crha32.exe] C:\WINDOWS\crha32.exe O4 - HKLM\..\Run: [A.tmp] C:\DOCUME~1\TPRITC~1\LOCALS~1\Temp\A.tmp.exe O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe » У меня этих пунктов почему-то просто нет. »

Вы сначала запускали AVZ? В таком случае тот и удалил их и Hijack-у не осталось.

Цитата FreeSoul:

C:\Program Files\SpySheriff\ » Этой папочки тоже нет. »

Папка должна была быть, потому что на приложение из неё указывал ваш начальный лог. Может, какая-то утилита, примененная вами, удалила их после создания логов?

Цитата FreeSoul:

Цитата Pili: В Hijack This откройте раздел Open Misc Tools section. Нажать кнопку "Delete an NT service" button. Скопируйте в окошко: 11F?a #·?AO`I » » Когда ввожу "11F?a #·?AO`I " выскакивает ошибка, что не найдено. »

Это я писал, и ошибочно. Это то же самое, что и Workstation NetLogon Service из отчета AVZ. Эта служба была запущена, согласно тому же отчету, файлом K“B.exe
В меню Старт, в строке Run, напечатайте:
services.msc
В появившемся окне найдите (в колонке Description) Workstation NetLogon Service, откройте в контекстном меню этой службы Properties, и посмотрите - там должна быть строка Path to executable. На какой файл указывает?

Попробуйте в той же строке Run напечатать и запустить команды:
regsvr32 jscript.dll
regsvr32 vbscript.dll

Ad-Aware и Spybot S&D применяли? Повторите логи.

[Pili]

Цитата FreeSoul:

У меня этих пунктов почему-то просто нет. »

это хорошо, значит avz постарался

Цитата Pili:

Файл quarantine.zip выслать на user15802[at]mail.ru »

FreeSoul, где карантин, где повторные логи?
Ещё выполните скрипт

Код:

begin
 RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
 ExecuteRepair(2);
 ExecuteRepair(3);
 ExecuteRepair(4);
 ExecuteRepair(5);
 ExecuteRepair(6);
 ExecuteRepair(8);
end.

[Petya V4sechkin]

Цитата FreeSoul:

И ещё когда я открываю "Поиск", видно только собачку-помощника и никаких полей, в которые вводить текст для поиска.

В дополнение к вышесказанному:
[решено] Всё исчезло из поиска. Пустое окно.
[решено] Пропали поля в "поиске"