[MotherBoard]

Здравствуйте!
выполните скрипт в AVZ

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('\\?\globalroot\systemroot\system32\leaVWGW.exe,','');
QuarantineFile('\\?\globalroot\systemroot\system32\rtOrlce.exe,','');
QuarantineFile('G:\System Volume Information\_restore{D4287E54-E630-4A76-8A50-1B7E53AC3EF4}\RP11\A0019261.exe','');
QuarantineFile('G:\System Volume Information\_restore{D4287E54-E630-4A76-8A50-1B7E53AC3EF4}\RP11\A0019260.exe ','');
QuarantineFile('G:\System Volume Information\_restore{D4287E54-E630-4A76-8A50-1B7E53AC3EF4}\RP11\A0019259.exe','');
QuarantineFile('G:\System Volume Information\_restore{D4287E54-E630-4A76-8A50-1B7E53AC3EF4}\RP11\A0019258.exe','');
QuarantineFile('D:\Мама\мама\graphica.exe','');
 QuarantineFile('c:\docume~1\15fb~1\locals~1\temp\trz1d.tmp','');
 QuarantineFile('c:\program files\ask.com\genericasktoolbar.dll','');
 QuarantineFile('c:\program files\ask.com\updatetask.exe','');
DeleteFile('\\?\globalroot\systemroot\system32\rtOrlce.exe,');
DeleteFile('\\?\globalroot\systemroot\system32\leaVWGW.exe,');
 DeleteFile('c:\docume~1\15fb~1\locals~1\temp\trz1d.tmp');
 DeleteFile('c:\program files\ask.com\genericasktoolbar.dll');
 DeleteFile('c:\program files\ask.com\updatetask.exe');
 DelBHO('{D4027C7F-154A-4066-A1AD-4243D8127440}');
 DeleteService('garenapengine');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Комп перезагрузится

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Профиксите в HJT ( http://virusnet.info/forum/showthread.php?t=9)

Код:

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,\\?\globalroot\systemroot\system32\leaVWGW.exe,\\?\globalroot\systemroot\system32\rtOrlce.exe,
O2 - BHO: Ask.com Toolbar BHO - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll
O3 - Toolbar: Ask.com Toolbar - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll

IP адреса ваши?212.1.224.34,212.1.230.111
если нет, то тоже профиксьте

Код:

O17 - HKLM\System\CCS\Services\Tcpip\..\{F0BDD35D-F79F-4255-9425-380F6A68C68B}: NameServer = 212.1.224.34,212.1.230.111

Отправьте полученный файл quarantine.zip из папки AVZ через данную форму(http://support.kaspersky.ru/virlab/helpdesk.html). В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus" (без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Полученный ответ сообщите здесь.

Повторите логи!

Как самочувствие пациента?

[Ckpol]

Проблема не исчезла,
На http://support.kaspersky.ru/virlab/helpdesk.html зайти не могу.

[icotonev]

попробуйте эту команду:

Цитата:

Пуск – Выполнить - вввести route –f, нажать ОК и перезагрузиться

[MotherBoard]

Выполнить скрипт в AVZ

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('c:\program files\ask.com\updatetask.exe','');
 DeleteFile('c:\program files\ask.com\updatetask.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

Подробнее в "ComboFix. Руководство по применению."


Скачайте RSIT или отсюда. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

[Ckpol]

После команды route –f все заработало

[MotherBoard]

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.

Код:

KillAll::

File::
C:\Program Files\Ask.com

Driver::

Folder::

Registry::

FileLook::

DirLook::

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.

Повторите логи AVZ с обновлёнными базами..
Прежде чем дать логи, выполните: Меню файл/обновление баз

[iskander-k]

Отключите интернет и локальную сеть если таковая имеется.[*]Очистите временные файлы.
Очистите временные файлы через Пуск - Программы - Стандартные - Служебные - Очистка диска или с помощью ATF Cleaner.
• Скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
• Если вы используете Firefox, нажмите Firefox - Select All - Empty Selected.
• Нажмите No, если вы хотите оставить ваши сохраненные пароли.
• Если вы используете Opera, нажмите Opera - Select All - Empty Selected.
• Нажмите No, если вы хотите оставить ваши сохраненные пароли.

* Подробнее можно прочитать в этой теме.

• Скачайте Malwarebytes Anti-Malware, установите, обновите базы, выберите Perform Full Scan, нажмите Scan, после сканирования - Ok - Show Results (показать результаты) - нажмите Remove Selected (удалить выделенные). Откройте лог и скопируйте в сообщение.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.


Обновите АВЗ и сделайте новые логи

[MotherBoard]

Если умеете, надо ещё подчистить планировщик заданий...

[thyrex]

MotherBoard, не надо ничего чистить

Ckpol, в этоим файле вирус добавил к имени файла лишний пробел перед расширением

Код:

<pre>
c:\program files\Adobe\Adobe Photoshop CS2\Plug-Ins\Asiva Correct and Apply Color 1.1 for Adobe Photoshop\Asiva_Correct .exe
</pre>

Удалите лишний пробел