[iskander-k]

1. Отключите интернет и локальную сеть если таковая имеется.
2. Очистите временные файлы.
   Очистите временные файлы через Пуск - Программы - Стандартные - Служебные - Очистка диска или с помощью ATF Cleaner.
   • Скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
   • Если вы используете Firefox, нажмите Firefox - Select All - Empty Selected.
   • Нажмите No, если вы хотите оставить ваши сохраненные пароли.
   • Если вы используете Opera, нажмите Opera - Select All - Empty Selected.
   • Нажмите No, если вы хотите оставить ваши сохраненные пароли.
3. Восстановление системы. Создание новой контрольной точки восстановления и очистка предыдущих.
   • Создание новой точки восстановления: Нажмите Пуск > Программы > Стандартные > Служебные > Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать.
   • Очистка всех предыдущих точек восстановления: Нажмите Пуск > Программы > Стандартные > Служебные > Очистка диска, выберите системный диск, на вкладке Дополнительно > Восстановление системы нажмите Очистить, нажмите Да для очистки всех точек восстановления, кроме последней.

* Подробнее можно прочитать в этой теме.


• HiJackThis. Нужно пофиксить эти строки в HiJackThis. Выставив галочки напротив этих пунктов и нажмите кнопку Fix Checked. Как пофиксить в HijackThis

Код:

F2 - REG:system.ini: Shell=Explorer.exe csrcs.exe
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\6f26b310.exe,C:\WI NDOWS\system32\qujsjy.exe,
O2 - BHO: TMAgent IE Adapter - {35A6E2B1-27A9-47D2-913C-559E1EF1D034} - C:\Program Files\Common Files\Target Marketing Agency\TMAgent\tmagent.dll
O4 - HKCU\..\Run: [svchost.exe] C:\Documents and Settings\Администратор\Application Data\Microsoft\svchost.exe
O4 - HKLM\..\Policies\Explorer\Run: [csrcs] C:\WINDOWS\system32\csrcs.exe
O4 - HKCU\..\Policies\Explorer\Run: [System Panel] C:\WINDOWS\system32\syspanel32.exe
O4 - Startup: monoca32.exe
O20 - Winlogon Notify: exodpt - Invalid registry found

• Скрипт AVZ.
Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('c:\windows\system32\drivers\sfc.sys','');
 QuarantineFile('c:\docume~1\9335~1\locals~1\temp\eaglent.sys','');
 QuarantineFile('c:\documents and settings\администратор\application data\microsoft\svchost.exe','');
 QuarantineFile('c:\documents and settings\администратор\главное меню\программы\автозагрузка\monoca32.exe','');
 QuarantineFile('c:\program files\internet explorer\setupapi.dll','');
 QuarantineFile('c:\windows\system32\6f26b310.exe','');
 QuarantineFile('c:\windows\system32\csrcs.exe','');
 QuarantineFile('c:\windows\system32\qujsjy.exe','');
 QuarantineFile('C:\WINDOWS\system32\syspanel32.exe','');
 QuarantineFile('C:\WINDOWS\system32\drivers\DegCs.exe','');
 QuarantineFile('csrcs.exe','');
 QuarantineFile('c:\program files\common files\target marketing agency\tmagent\tmagent.dll','');
 QuarantineFile('%windir%\system32\sfcfiles.dll','');
 DeleteFile('c:\windows\system32\drivers\sfc.sys');
 RenameFile('%windir%\system32\sfcfiles.dll', '%windir%\system32\sfcfiles.bak');
 CopyFile('%windir%\system32\dllcache\sfcfiles.dll', '%windir%\system32\sfcfiles.dll');
 DeleteFile('%windir%\system32\sfcfiles.bak');
 DeleteFile('c:\docume~1\9335~1\locals~1\temp\eaglent.sys');
 DeleteFile('c:\documents and settings\администратор\application data\microsoft\svchost.exe');
 DeleteFile('c:\documents and settings\администратор\главное меню\программы\автозагрузка\monoca32.exe');
 DeleteFile('c:\program files\internet explorer\setupapi.dll');
 DeleteFile('C:\WINDOWS\system32\drivers\DegCs.exe');
 DeleteFile('c:\windows\system32\6f26b310.exe');
 DeleteFile('c:\windows\system32\csrcs.exe');
 DeleteFile('c:\windows\system32\qujsjy.exe');
 DeleteFile('csrcs.exe');
 DeleteFile('C:\WINDOWS\system32\syspanel32.exe');
 DeleteFile('c:\program files\common files\target marketing agency\tmagent\tmagent.dll');
 DelBHO('{35A6E2B1-27A9-47D2-913C-559E1EF1D034}');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','svchost.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','System\CurrentControlSet\Control\Session Manager\AppCertDlls','DefaultVerifier');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','csrcs');
 RegKeyStrParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'UserInit', GetEnvironmentVariable('WinDir')+'\system32\userinit.exe,');
 DeleteService('eaglent');
BC_ImportAll;
ExecuteSysClean;
 BC_DeleteSvc('sfc');
BC_Activate;
 ExecuteRepair(16);
 ExecuteRepair(20);
RebootWindows(true);
end.

После всех процедур выполните скрипт

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин quarantine.zip. Отправьте полученный файл quarantine.zip из папки AVZ через данную форму. В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus" (без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Результаты ответа, сообщите здесь, в теме.


Обновите АВЗ и сделайте новые логи.

[fereman]

Добрый вечер огромное спасибо за оперативный ответ Internet Explorer работает система работает быстрее
сайт http://www.esetnod32.ru загружается спасибо за помощь.
Отправить полученный файл quarantine.zip не получилось пробую снова.

[fereman]

новые логи.

[Drongo]

fereman, Отключите восстановление системы или лечиться будете вечно

Код:

Восстановление системы: включено

• Скрипт AVZ.
Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('c:\documents and settings\администратор\главное меню\программы\автозагрузка\monoca32.exe','');
 QuarantineFile('c:\games\lineageii\system:pst.dll:$data','');
 QuarantineFile('c:\windows\system32\sfcfiles.bak','');
 QuarantineFile('C:\WINDOWS\system32\syspanel32.exe','');
 DeleteFile('C:\WINDOWS\system32\syspanel32.exe');
 DeleteFile('c:\documents and settings\администратор\главное меню\программы\автозагрузка\monoca32.exe');
 DeleteFile('c:\games\lineageii\system:pst.dll:$data');
 DeleteFile('c:\windows\system32\sfcfiles.bak');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После всех процедур выполните скрипт

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин quarantine.zip. Отправьте полученный файл quarantine.zip из папки AVZ через данную форму. В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus" (без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Результаты ответа, сообщите здесь, в теме.

Повторите логи. Что с проблемой?

[fereman]

Добрый вечер. восстановление системы отключил. Проблем вроде не заметил
Новые логи

[Drongo]

fereman, Ещё раз привет.

Загрузитесь в безопасный режим и из безопасного режима выполните скрипт.

• Скрипт AVZ.
Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('c:\documents and settings\администратор\главное меню\программы\автозагрузка\monoca32.exe','');
 DeleteFile('c:\documents and settings\администратор\главное меню\программы\автозагрузка\monoca32.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После всех процедур выполните скрипт

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин quarantine.zip. Отправьте полученный файл quarantine.zip из папки AVZ через данную форму. В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus" (без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Результаты ответа, сообщите здесь, в теме.


Обновите базы и сделайте лог AVZ + RSIT

• Скачайте RSIT или c зеркала. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

[fereman]

Добрый день. Спасибо за внимание.
Загрузился в безопасном режиме выполнил скрипт.
-----------------------------------------------------------------------------------
После всех процедур выполните скрипт
Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
------------------------------------------------------------------------------------
после выполнения этого действия выдал ошибку.

Обновил базы и сделал лог AVZ + RSIT

[Drongo]

fereman, В логах ничего подозретельного не увидел. Что с проблемой?

[fereman]

спасибо проблема решена.