[A_kitten]

Еще не дает обновить базы к утилите AVZ с этого ноутбука.

[iskander-k]

•Скачайте ComboFix или здесь или здесь и сохраните на рабочий стол.
1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Как использовать ComboFix
Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe.

[A_kitten]

Выполнила, прилагаю протокол.

[zirreX]

Проверьте на www.virustotal.com этот файлы:

Код:

c:\windows\regedit.exe
c:\program files\Radius\ROPC\bin\ropc.exe

Ссылки с результатами проверок дайте в этой теме!


Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.

Код:

File::
C:\xdx.exe
c:\recycler\S-1-5-21-0243556031-888888379-781863308-1455\psysnew.exe

Registry::
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]

FileLook::
c:\program files\Radius\ROPC\bin\ropc.exe

RegLock::
[HKEY_LOCAL_MACHINE\software\Classes\5*!3*0*6*8*1*5*5*8*_*a*u*t*o*_*f*i*l*e*\shell\open\command]

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.


Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.


Microsoft остановил поддержку и выпуск обновлений безопасности для ОС Windows XP без установленного SP3.
Установите Service Pack 3 (потребуется активация).

[A_kitten]

День добрый!
По п.1 "Проверьте на www.virustotal.com этот файлы", не совсем поняла, т.к. все на английском. Не нашла ссылок результатами, все скопировала в текстовый файл. Правда проверку делала вышеуказанных файлов с другого компа, с которого есть выход в инет. Может поэтому протоколы получились похожими.
Протоколы прилагаю.
п.2 Скрипт выполнила. Протокол прилагаю.
п.3 выполнила. Протокол прилагаю.
п.4 выполнила в последнюю очередь, жду дальнейших рекомендаций.
Спасибо.

[A_kitten]

Прогресс. Установился Касперский, обновился с сайта и запускается Internet Explorer без ругачки на файл svchost.exe.

[zirreX]

Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду Combofix /Uninstall (Обязательно должен быть пробел между combofix и /u), нажмите кнопку "ОК"



Скачайте OTCleanIt или с зеркала, запустите, нажмите Clean up

Удалите в MBAM

Код:

Заражённые файлы:
c:\documents and settings\all users\документы\shareddocs.scr (Trojan.Chydo) -> No action taken.
c:\documents and settings\all users\документы\мои видеозаписи\видеозаписи.pif (Trojan.Chydo) -> No action taken.
c:\documents and settings\all users\документы\мои рисунки\рисунки.scr (Trojan.Chydo) -> No action taken.
c:\documents and settings\all users\документы\моя музыка\музыка.scr (Trojan.Chydo) -> No action taken.
c:\documents and settings\all users\документы\моя музыка\playlists\playlists.exe (Trojan.Chydo) -> No action taken.
c:\documents and settings\all users\документы\моя музыка\sample playlists\playlists.exe (Trojan.Chydo) -> No action taken.

Проверьте файл на www.virustotal.com

Код:

c:\windows\system32\drivers\ioprtdrv.sys

Обзор, найдите указанный файл и нажмите Send File. После окончания проверки скопируйте ссылку из адресной строки браузера и дайте в сообщении.

Вставьте флешку, удерживая клавишу Shift, чтобы не сработал автозапуск.Не открывайте её в проводнике.
Со вставленной флешкой сделайте логи AVZ, RSIT и новый лог полного сканирования MBAM

[A_kitten]

День добрый!
п.1 Деинсталлировала.
2. ВыполнилаOTC.
3. Запустила MBAM, не смогла выполнить "Удалите в MBAM", т.к. по результатам сканирования отмеченных вами файлы не было , то просто прилаю протокол.
4. Вот ссылка на VirusTool: http://www.virustotal.com/file-scan/...b91-1297066454
5. Протоколы AVZ и Rsit прилагаю.
6. Заново делаю протокол MBAM, результат выложу через часок.

[zirreX]

Логи делали со вставленной флешкой?
ComboFix удалили после создания логов? Вижу его драйвер в логах.


Ничего вредоносного не вижу в логах, только возьмём несколько подозрительных файлов на анализ и исправим ассоциацию SCR файлов.

• Выполните скрипт AVZ

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный скрипт -> Нажать кнопку "Запустить".

Код:

begin
 QuarantineFile('C:\Program Files\Radius\ROPC\bin\ropc.exe','');
 QuarantineFile('C:\Program Files\AKTAKOM\AM-1038-SW\Driver\Win2KXP\REMOVE2K.EXE','');
 QuarantineFile('C:\WINDOWS\system32\drivers\ioprtdrv.sys','');
ExecuteRepair(1);
end.

Затем выполните такой скрипт:

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный скрипт -> Нажать кнопку "Запустить".

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин.Отправьте quarantine.zip из папки AVZ через эту форму.

Проверьте файл на www.virustotal.com

Код:

c:\WINDOWS\$ntservicepackuninstall$\ctfmon.exe

Есть еще проблемы?