... Все как у всех. Буду Вам очень благодарна, если сможете помочь. Вот ссылки на требуемые файлы: hijackthis.log http://webfile.ru/5456918 virusinfo_syscheck.zip http://webfile.ru/5456937 virusinfo_syscure.zip http://webfile.ru/5456923 Надеюсь, все сделала правильно. Не судите строго, для меня это все равно что древнеегипетские письмена. Спасибо.
Уважаемые админы, правильно ли подготовлены ранее выложенные мной файлы? Дайте, пожалуйста, знать, если что-то не так с логами, я их переделаю! К сожалению, собственными силами справиться с выскакивающим баннером не получается. Заранее большое спасибо!
1. Отключите антивирус/фаервол, интернет. 2. Скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected. - если вы используете Firefox, нажмите Firefox - Select All - Empty Selected - нажмите No, если вы хотите оставить ваши сохраненные пароли - если вы используете Opera, нажмите Opera - Select All - Empty Selected - нажмите No, если вы хотите оставить ваши сохраненные пароли 3. Выполните скрипт в AVZ (Запустите AVZ, Меню - Файл - Выполнить скрипт -- в открывшееся окно вставляем -- ниже написанный скрипт -- и нажимаем - Запустить.) Код: begin SearchRootkit(true, true); SetAVZGuardStatus(True); ClearHostsFile; DeleteFile('C:\WINDOWS\system32\cvcmlaf.dll'); DeleteFile('C:\Documents and Settings\Admin\Local Settings\Temp\_uninst_57955024.bat'); RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\', 'Userinit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,'); BC_ImportAll; ExecuteSysClean; BC_Activate; ExecuteWizard('TSW',2,3,true); RebootWindows(true); end. после выполнения скрипта компьютер перезагрузится. 4. Пофиксите в HijackThis следующие строчки: Внимание: некоторые строки могут отсутствовать, это нормально, просто сообщите какие не нашли при фиксе. Код: R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.inet123.ru/ F2 - REG:system.ini: UserInit=userinit.exe, O4 - HKUS\S-1-5-19\..\RunOnce: [ZZZZ1_FirstLogonSetting] %SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\custom.inf,OnceFirstLogonInstall,0 (User 'LOCAL SERVICE') O4 - HKUS\S-1-5-20\..\RunOnce: [ZZZZ1_FirstLogonSetting] %SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\custom.inf,OnceFirstLogonInstall,0 (User 'NETWORK SERVICE') O4 - HKUS\S-1-5-18\..\RunOnce: [ZZZZ2_FirstLogonSetting] %SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\custom.inf,NewUserFirstLogonInstall,0 (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\RunOnce: [ZZZZ2_FirstLogonSetting] %SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\custom.inf,NewUserFirstLogonInstall,0 (User 'Default user') O4 - Startup: _uninst_57955024.lnk = C:\Documents and Settings\Admin\Local Settings\Temp\_uninst_57955024.bat O20 - AppInit_DLLs: C:\WINDOWS\system32\cvcmlaf.dll 5. Сделайте новые логи AVZ и HijackThis 6. Cделайте лог MBAM и дайте ссылку на файл лога. После выполнения всех пунктов (1 по 6) проверьте, остался ли вирус? Если да, выполните следующее:
oleg, спасибо Вам большое-пребольшое, вроде баннера больше не наблюдаю! Новые логи здесь: virusinfo_syscheck.zip http://webfile.ru/5460551 virusinfo_syscure.zip http://webfile.ru/5460558 hijackthis.log http://webfile.ru/5460562 mbam http://webfile.ru/5460564 При фиксе вот этих строк я не нашла: O4 - Startup: _uninst_57955024.lnk = C:\Documents and Settings\Admin\Local Settings\Temp\_uninst_57955024.bat O20 - AppInit_DLLs: C:\WINDOWS\system32\cvcmlaf.dll Еще раз благодарю Вас!
