[Pili]

MXMX, Здравствуйте. Запустите AVZ, далее в меню файл - выполнить скрипт, выделите и скопируйте текст ниже в окно выполнения скрипта AVZ, временно выключите антивирус и другое защитное программное обеспечение, нажмите кнопку «Запустить».

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\SkypeComm.dll','');
 DeleteFile('C:\WINDOWS\system32\SkypeComm.dll');
 DelBHO('{9018F6A8-2495-45DF-9F16-C738F8F3C8FF}');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
ExecuteRepair(6);
RebootWindows(true);
end.

Компьютер перезагрузится. После перезагрузки выполнить ещё скрипт

Код:

begin	
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Файл quarantine.zip отправьте на user15802[at]mail.ru, в письме укажите ссылку на тему

Скачайте Malwarebytes Anti-Malware здесь,здесь, здесь или здесь. Установите, обновите базы, выберите Perform Full Scan (Провести полную проверку), нажмите Scan (Проверить), после сканирования выберите Ок и далее Show Results (Показать результаты), нажмите Remove Selected (удалить выделенные, внимание - проверьте то, что удаляете). После удаления откройте лог и скопируйте в сообщение. Логи сканирования можно посмотреть во вкладке Logs (Отчеты), выбрав отчет и нажав кнопку Open (Открыть)

Скачайте SDFix здесь или здесь, загрузитесь в безопасном режиме, запустите утилиту (запустить RunThis.bat из папки SDFix - подтвердить, нажав "Y"), после окончания сканирования скопируйте (Ctrl+A, Ctrl+C) текст из C:\Report.txt и вставьте (Ctrl+V) в следующее сообщение, если текст не уместится в одном сообщении, продолжите его в следующем или запакуйте файл C:\Report.txt и прикрепите к сообщению
Описание SDFix есть здесь и здесь

Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

Установите Recovery Console по инструкции (на англ.яз) - how-to-use-combofix и здесь - скачайте установочный файл для своей ОС (например Windows XP с пакетом обновления 2 (SP2) - для Windows XP SP3 использовать этот же файл) на рабочий стол, закройте все остальные приложения и мышкой перенесите установочный файл на иконку ComboFix и установите Microsoft Recovery Console. Доп. см. Установочные диски для установки с гибкого диска.
После установки консоли восстановления программа предложит запустить сканирование, подтвердите, нажав Yes.
Когда процесс сканирования завершится, скопируйте (Ctrl+A, Ctrl+C) текст из C:\ComboFix.txt и вставьте (Ctrl+V) в следующее сообщение если текст не уместится в одном сообщении, продолжите его в следующем или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.

Внимание! Перед запуском сканирования обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix и не нажимайте кнопки мыши. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер.

Как использовать ComboFix - how-to-use-combofix (на англ.яз.) и здесь (на русском)
Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

[MXMX]

Докладываю:
Запускал в AVZ скрипт, но т.к. папка карантина пуста смысла сюда ее прикреплять не нашел...
Устанавливал и запускал все вышеперечисленное по порядку..., единственное что - не мог обновиться, т.к. интернет у меня на том компьютере не работает (как я уже писал в своем первом сообщении). Логи прикрепляю...

Картинка 11.jpg - это скиншот того что мне показывает когда я пытаюсь создать подключение.

И еще..., на форуме Dr.Web'а мне порекомендовали запустить службы Телефония (Telephony), Диспетчер подключений удаленного доступа (Remote Access Connection Manager) и Диспетчер авто-подключений удаленного доступа (Remote Access Auto Connection Manager). телефония - работает, Диспетчер подключений удаленного доступа - не работает и запустить не удается, выдает ошибку 126 (нашел на форуме про нее тему http://forum.oszone.net/showthread.php?t=71064 - sfc /scannow диск читает/признает не полностью, часть файлов пришлось пропускать), Диспетчер авто-подключений удаленного доступа - выдает ошибку 1068.

Вроде все..., что дальше?

[Pili]

Цитата MXMX:

не мог обновиться, т.к. интернет у меня на том компьютере не работает »

Базы МВАМ можно обновить отдельно - downloading the update MBAM и проверить систему.
По логам больше ничего плохого. Деинсталлируйте ComboFix: нажмите пуск – выполнить - Combofix /u
Скачайте OTCleanIt, запустите, нажмите CleanUp!
Попробуйте:
Установить тип запуска служб как здесь
Рекомендации из статьи
Восстановление значений по умолчанию параметров безопасности
Появление сообщения об ошибке «Ошибка 1068 » при включении общего ...
Устранение неполадок, связанных с пропаданием значков сетевых подключений в Windows Server 2003 и Windows XP
Интернет - Не удается запустить диспетчер подключений удаленного ...
Установите WindowsXP SP3 и все последующие обновления - http://windowsupdate.microsoft.com
Если не помогут эти рекомендации, обратитесь в раздел Microsoft Windows 2000/XP
Попробуйте применить твик реестра

Код:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan]
"Type"=dword:00000020
"Start"=dword:00000002
"ErrorControl"=dword:00000001
"ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\
74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\
00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\
6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00
"DisplayName"="Remote Access Connection Manager"
"DependOnService"=hex(7):54,00,61,00,70,00,69,00,73,00,72,00,76,00,00,00,00,00
"DependOnGroup"=hex(7):00,00
"ObjectName"="LocalSystem"
"Description"="Creates a network connection."
"FailureActions"=hex:00,00,00,00,00,00,00,00,00,00,00,00,03,00,00,00,53,00,65,\
00,01,00,00,00,60,ea,00,00,01,00,00,00,60,ea,00,00,01,00,00,00,60,ea,00,00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\Parameters]
"Medias"=hex(7):72,00,61,00,73,00,74,00,61,00,70,00,69,00,00,00,00,00
"ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\
00,74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\
72,00,61,00,73,00,6d,00,61,00,6e,00,73,00,2e,00,64,00,6c,00,6c,00,00,00
"CustomDLL"=hex(7):00,00
"IpOutLowWatermark"=dword:00000001
"IpOutHighWatermark"=dword:00000005

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\PPP]
"MaxConfigure"=dword:0000000a
"MaxFailure"=dword:0000000a
"MaxReject"=dword:00000005
"MaxTerminate"=dword:00000002
"Multilink"=dword:00000000
"NegotiateTime"=dword:00000096
"RestartTimer"=dword:00000003

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\PPP\ControlProtocols]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\PPP\ControlProtocols\BuiltIn]
"Path"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,\
00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,72,00,\
61,00,73,00,70,00,70,00,70,00,2e,00,64,00,6c,00,6c,00,00,00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\PPP\ControlProtocols\Chap]
"Path"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,\
00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,72,00,\
61,00,73,00,63,00,68,00,61,00,70,00,2e,00,64,00,6c,00,6c,00,00,00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\PPP\EAP]
"Path"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,\
00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,72,00,\
61,00,73,00,70,00,70,00,70,00,2e,00,64,00,6c,00,6c,00,00,00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\PPP\EAP\13]
"FriendlyName"="Smart Card or other Certificate"
"Path"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,\
00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,72,00,\
61,00,73,00,74,00,6c,00,73,00,2e,00,64,00,6c,00,6c,00,00,00
"ConfigUiPath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\
00,74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\
72,00,61,00,73,00,74,00,6c,00,73,00,2e,00,64,00,6c,00,6c,00,00,00
"IdentityPath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\
00,74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\
72,00,61,00,73,00,74,00,6c,00,73,00,2e,00,64,00,6c,00,6c,00,00,00
"InteractiveUIPath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,\
00,6f,00,74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,\
5c,00,72,00,61,00,73,00,74,00,6c,00,73,00,2e,00,64,00,6c,00,6c,00,00,00
"InvokeUsernameDialog"=dword:00000000
"InvokePasswordDialog"=dword:00000000
"MPPEEncryptionSupported"=dword:00000001
"ConfigCLSID"="{58AB2366-D597-11d1-B90E-00C04FC9B263}"
"StandaloneSupported"=dword:00000000
"NoRootRevocationCheck"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\PPP\EAP\25]
"FriendlyName"="Protected EAP (PEAP)"
"Path"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,\
00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,72,00,\
61,00,73,00,74,00,6c,00,73,00,2e,00,64,00,6c,00,6c,00,00,00
"ConfigUiPath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\
00,74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\
72,00,61,00,73,00,74,00,6c,00,73,00,2e,00,64,00,6c,00,6c,00,00,00
"IdentityPath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\
00,74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\
72,00,61,00,73,00,74,00,6c,00,73,00,2e,00,64,00,6c,00,6c,00,00,00
"InteractiveUIPath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,\
00,6f,00,74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,\
5c,00,72,00,61,00,73,00,74,00,6c,00,73,00,2e,00,64,00,6c,00,6c,00,00,00
"InvokeUsernameDialog"=dword:00000000
"InvokePasswordDialog"=dword:00000000
"MPPEEncryptionSupported"=dword:00000001
"ConfigCLSID"="{58AB2366-D597-11d1-B90E-00C04FC9B263}"
"StandaloneSupported"=dword:00000001
"NoRootRevocationCheck"=dword:00000001
"RolesSupported"=dword:0000001a

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\PPP\EAP\26]
"FriendlyName"="Secured password (EAP-MSCHAP v2)"
"Path"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,\
00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,72,00,\
61,00,73,00,63,00,68,00,61,00,70,00,2e,00,64,00,6c,00,6c,00,00,00
"ConfigUiPath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\
00,74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\
72,00,61,00,73,00,63,00,68,00,61,00,70,00,2e,00,64,00,6c,00,6c,00,00,00
"IdentityPath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\
00,74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\
72,00,61,00,73,00,63,00,68,00,61,00,70,00,2e,00,64,00,6c,00,6c,00,00,00
"InteractiveUIPath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,\
00,6f,00,74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,\
5c,00,72,00,61,00,73,00,63,00,68,00,61,00,70,00,2e,00,64,00,6c,00,6c,00,00,\
00
"InvokeUsernameDialog"=dword:00000000
"InvokePasswordDialog"=dword:00000000
"MPPEEncryptionSupported"=dword:00000001
"ConfigCLSID"="{2af6bcaa-f526-4803-aeb8-5777ce386647}"
"StandaloneSupported"=dword:00000001
"RolesSupported"=dword:00000004

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\PPP\EAP\4]
"FriendlyName"="MD5-Challenge"
"Path"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,\
00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,72,00,\
61,00,73,00,63,00,68,00,61,00,70,00,2e,00,64,00,6c,00,6c,00,00,00
"InvokeUsernameDialog"=dword:00000001
"InvokePasswordDialog"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\Security]
"Security"=hex:01,00,14,80,7c,00,00,00,88,00,00,00,14,00,00,00,30,00,00,00,02,\
00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\
00,00,02,00,4c,00,03,00,00,00,00,00,14,00,9d,01,02,00,01,01,00,00,00,00,00,\
05,0b,00,00,00,00,00,18,00,fd,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,\
23,02,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,20,\
02,00,00,01,01,00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,\
00,00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\Enum]
"0"="Root\\LEGACY_RASMAN\\0000"
"Count"=dword:00000001
"NextInstance"=dword:00000001

Готовый reg файл

Можете ещё попробовать выполнить в AVZ файл - восстановление - пункт 6
И воспользоваться утилитой WinsockFix, не забудьте записать настройки tcp/ip перед применением

Если вы уверены, что остались вирусы, можем продолжить проверку.
Выложите логи проверки с обновленными базами МВАМ

Скачайте OTListIt2, сохраните на рабочий стол и запустите, выберите: Scan All Users, Minimal Output, File Age: 30 Days, поставьте галочку LOP Check, Purity Check и в Extra Registry - Use Safe list. Нажмите Run Scan, когда закончится процесс сканирования, откроются два файла OTListIt.Txt и Extras.txt , скопируйте (Ctrl+A, Ctrl+C) текст из этих файлов и вставьте (Ctrl+V) в следующее сообщение, если текст не уместится в одном сообщении, продолжите его в следующем или запакуйте полученные логи C:\OTListIt.Txt и C:\Extras.txt и прикрепите к сообщению.

Скачайте gmer со случайным именем файла(рекомендуется) здесь, либо gmer.zip здесь или здесь, закройте все остальные программы и отключите антивирусное ПО (включите брандмауэр windows или отключите компьютер от локальной сети), запустите программу (в ОС Windows Vista необходимо запускать через правую кн. мыши от имени администратора).
Внимание, если при запуске gmer выйдет окно предупреждающее об обнаружении ROOTKIT activity, нажмите No и в правой панели уберите значки напротив следующих пунктов
• Sections
• IAT/EAT
• Drives/Partition
• Show all
Нажмите на кнопку Scan, если выйдет предупреждающее окно, нажмите Ok. После окончания проверки сохраните лог (нажмите на кнопку Save) и вложите в сообщение.

[Petya V4sechkin]

Цитата MXMX:

Диспетчер подключений удаленного доступа - не работает и запустить не удается, выдает ошибку 126

[решено] Не запускается служба "Диспетчер подключений удаленного доступа"

[MXMX]

Petya V4sechkin, Хотел сделать как было описано

Цитата:

...запускаете FileMon -> меню Options -> Filter/Highlight -> снимаете галку Log Successes. Далее пытаетесь запустить службу (Пуск -> Выполнить -> services.msc -> Диспетчер подключений удаленного доступа -> правой кнопкой мыши, Пуск) и смотрите в FileMon, на каких файлах ошибка. Можете выложить лог (меню File -> Save As).

Но, "Диспетчер подключений удаленного доступа" - нет, есть только "Диспетчер авто-подключений удаленного доступа"...
Занятно получается..., был и пропал..., хм О_о

Pili, Хрен уже с ними с этими вирусами..., у меня уже нет времени из все выискивать и лечить..., давайте будем заниматься только восстановлением работоспособности.
ComboFix -удалил, OTCleanIt - запустил..., reg файл ставил..., Сейчас скачаю и поставлю SP3 (с большим нежеланием - последний раз когда я его ставил на чей-то компьютер пришлось переустанавливать винду, глючить что-то начало)... Все обновления ставил по мере их выхода, кроме SP3 и IE7,8

[Pili]

Цитата MXMX:

Но, "Диспетчер подключений удаленного доступа" - нет, есть только "Диспетчер авто-подключений удаленного доступа"... »

Вы же раньше писали

Цитата MXMX:

Диспетчер подключений удаленного доступа - не работает и запустить не удается, выдает ошибку 126 »

Вот и попробуйте ещё раз добраться до этой ошибки, в filemon должна отобразиться информация, если какого-то файла не будет.

Цитата MXMX:

нет времени из все выискивать и лечить..., давайте будем заниматься только восстановлением »

Цитата Pili:

Если не помогут эти рекомендации, обратитесь в раздел Microsoft Windows 2000/XP »

В этом разделе лечим от вредоносного ПО, а проблема у вас появилась ещё до обращения на форум. Впрочем не зря обратились, зловреды ещё были... По последним логам ничего плохого, но можно ещё и другими утилитами посмотреть.

[MXMX]

Цитата Pili:

Вы же раньше писали »

Цитата Pili:

Вот и попробуйте ещё раз добраться до этой ошибки, »

Да я раньше писал что он был и выдавал ошибку 126 при попытке запуска, однако после последних манипуляций - исчез такой пункт напрочь... Следовательно как до нее добраться без понятия...

[Pili]

Цитата MXMX:

однако после последних манипуляций - исчез такой пункт напрочь... »

В списке служб отсутствует Remote Access Connection Manager? В реестре есть HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan с параметром "Start"=dword:00000002?

[MXMX]

Pili, Появилось после манипуляций... http://forum.oszone.net/showthread.php?p=1122901

ОФФТОП: Мне лучше продолжать писать здесь по моей проблеме или в разделе по Microsoft Windows 2000/XP: http://forum.oszone.net/showthread.php?p=1123038 ???

[Pili]

MXMX, в разделе по Microsoft Windows 2000/XP, здесь можете выложить логи, если продолжим проверку на вирусы.