[Drongo]

uptk, Вирусов действительно много. Выполните рекомендации

• HiJackThis Нужно пофиксить эти строки в HiJackThis. Выставив галочки напротив этих пунктов и нажмите кнопку Fix Checked. Как пофиксить в HijackThis

Код:

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [userini] C:\WINDOWS\system32\userini.exe
O4 - HKCU\..\Run: [userini] C:\WINDOWS\system32\userini.exe
O4 - HKLM\..\Policies\Explorer\Run: [userini] C:\WINDOWS\system32\userini.exe
O4 - HKCU\..\Policies\Explorer\Run: [Dr.Watson] C:\WINDOWS\system32\drwat32.exe
O4 - HKCU\..\Policies\Explorer\Run: [userini] C:\WINDOWS\system32\userini.exe

• Скрипт AVZ.
Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 TerminateProcessByName('c:\windows\temp\wpv491272966523.exe');
 QuarantineFile('c:\windows\temp\wpv491272966523.exe','');
 QuarantineFile('c:\windows\system32\drwat32.exe','');
 QuarantineFile('c:\windows\system32\userini.exe','');
 QuarantineFile('c:\windows\explorer.exe:userini.exe:$data','');
 QuarantineFile('C:\Documents and Settings\LocalService\Application Data\Microsoft\fouquyjo.exe','');
 QuarantineFile('E:\DRIVER\Audio\winio.sys','');
 QuarantineFile('C:\WINDOWS\system32\drivers\protect.sys','');
 QuarantineFile('C:\Documents and Settings\LocalService\Application Data\Microsoft\gade.exe','');
 QuarantineFile('c:\windows\temp\wpv491272966523.exe','');
 QuarantineFile('c:\program files\Формат - Статистика\format.exe','');
 QuarantineFile('C:\WINDOWS\system32\wbem\grpconv.exe',''); 
 DeleteFile('c:\windows\temp\wpv491272966523.exe');
 DeleteFile('c:\windows\system32\drwat32.exe');
 DeleteFile('c:\windows\system32\userini.exe');
 DeleteFile('c:\windows\explorer.exe:userini.exe:$data');
 DeleteFile('C:\WINDOWS\system32\wbem\grpconv.exe');
 DeleteFile('c:\windows\temp\wpv491272966523.exe');
 DeleteFile('C:\Documents and Settings\LocalService\Application Data\Microsoft\gade.exe');
 DeleteFile('C:\WINDOWS\system32\drivers\protect.sys');
 DeleteFile('E:\DRIVER\Audio\winio.sys');
 DeleteFile('C:\Documents and Settings\LocalService\Application Data\Microsoft\fouquyjo.exe');
 RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','gissuvouk');
 RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','gissuvouk');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Dr.Watson');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','userini');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','userini');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','userini');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','userini');
 DeleteService('WINIO');
 DeleteService('protect');
 DeleteService('aaayoifo');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteRepair(9);
RebootWindows(true);
end.

После всех процедур выполните скрипт

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин quarantine.zip. Отправьте полученный файл quarantine.zip из папки AVZ через данную форму. В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus" (без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Результаты ответа, сообщите здесь, в теме.

После чего проверьте компьютер утилитой CureIT или Kaspersky Virus Removal Tool

Повторите логи и что с проблемой?

[uptk]

Вот повторные логи.

CureIT немного зловредов понаходил.
Народ говорит что по контакту от меня спам идет.

В ответе с каперского сказано, что вирусов не найдено.
Но в момен когда паковался карантин, НОД что-то детектил и удалял/

[Drongo]

uptk, Уже лучше.

• Скрипт AVZ.
Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('c:\windows\temp\tzqszuevgbchk.sys','');
 DeleteFile('c:\windows\temp\tzqszuevgbchk.sys');
 DeleteService('nrvczevi');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После всех процедур выполните скрипт

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин quarantine.zip. Отправьте полученный файл quarantine.zip из папки AVZ через данную форму. В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus" (без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Результаты ответа, сообщите здесь, в теме.

• Скачайте SDFix, загрузитесь в безопасном режиме, запустите утилиту (запустить RunThis.bat - подтвердить, нажав "Y"), после окончания сканирования скопируйте текст из C:\Report.txt и вставьте в следующее сообщение или запакуйте файл C:\Report.txt и прикрепите к сообщению
Описание SDFix есть здесь.

• Скачайте Malwarebytes Anti-Malware, установите, обновите базы, выберите Perform Full Scan, нажмите Scan, после сканирования - Ok - Show Results (показать результаты) . Откройте лог и скопируйте в блокнот и выложите в сообщение.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

Повторите логи AVZ, предварительно обновите базы.

[uptk]

Система в безопастном не запускаеться, падает DSOD 7В

Ответ касперского

Вредоносный код в файле не обнаружен.

[thyrex]

Выполните скрипт в AVZ

Код:

begin
ExecuteRepair(10);
RebootWindows(true);
end.

Компьютер перезагрузится.

Проверьте безопасный режим

[uptk]

Щас идет сканирование MBAM, закончиться выполню.

[uptk]

Цитата thyrex:

Выполните скрипт в AVZ »

помогло

Цитата:

SDFix: Version 1.240 Run by Admin on 01.01.2002 at 03:58 Microsoft Windows XP [‚ҐабЁп 5.1.2600] Running From: C:\Documents and Settings\Admin\ђ*Ў®зЁ© бв®«\AV\SDFix\SDFix Checking Services : Name : ICF Path : C:\WINDOWS\system32\svchost.exe:exe.exe ICF - Deleted Restoring Default Security Values Restoring Default Hosts File Rebooting Checking Files : No Trojan Files Found