• Администрация SafeZone приветствует вас на нашем форуме!
    Если вы больше не желаете видеть рекламу при просмотре тем и сообщений - то достаточно просто зарегистрироваться. Для зарегистрированных пользователей реклама не отображается.

Решена заблокирована страница в контакте

Статус
В этой теме нельзя размещать новые ответы.

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,434
Симпатии
8,699
#2
А почему первый лог AVZ делали в безопасном режиме?

Добавлено через 1 минуту 15 секунд
Сейчас погляжу остальные логи
 

natalusik

Активный пользователь
Сообщения
12
Симпатии
1
#3
потому что сначала сделала все как написано до перезагрузки а после перезагрузки комп не загрузился (синий экран был... краш чего то там) поэтому в безопасном
 

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,434
Симпатии
8,699
#4
Закройте все программы, выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\Windows\system32\wac.sys','');
 QuarantineFile('C:\Users\Натали\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Microsoft Update.exe','');
 QuarantineFile('C:\Windows\system32\E262.tmp','');
 QuarantineFile('C:\Windows\system32\C6D7.tmp','');
 QuarantineFile('C:\Windows\system32\BC2D.tmp','');
 QuarantineFile('C:\Windows\system32\A8AD.tmp','');
 QuarantineFile('C:\Windows\system32\7DE5.tmp','');
 QuarantineFile('C:\Windows\system32\705E.tmp','');
 QuarantineFile('C:\Windows\system32\6576.tmp','');
 QuarantineFile('C:\Windows\system32\5E54.tmp','');
 DeleteFile('C:\Windows\system32\E262.tmp');
 DeleteFile('C:\Windows\system32\C6D7.tmp');
 DeleteFile('C:\Windows\system32\BC2D.tmp');
 DeleteFile('C:\Windows\system32\A8AD.tmp');
 DeleteFile('C:\Windows\system32\7DE5.tmp');
 DeleteFile('C:\Windows\system32\705E.tmp');
 DeleteFile('C:\Windows\system32\6576.tmp');
 DeleteFile('C:\Windows\system32\5E54.tmp');
 DeleteFile('C:\Users\Натали\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Microsoft Update.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteRepair(2);
 ExecuteRepair(3);
 ExecuteRepair(4);
 ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.
Компьютер перезагрузится, После перезагрузки:
- выполните такой скрипт

Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.
Полученный архив отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения. с указанием пароля: virus в теле письма.

Пофиксите в HJT:

Код:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://webalta.ru
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/poisk
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/poisk
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/poisk
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.mail.ru/cnt/7823
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://webalta.ru
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/poisk
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/poisk
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/poisk
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://webalta.ru
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/poisk
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=
Повторите логи AVZ и RSIT

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
 

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,434
Симпатии
8,699
#6
Удалите в MBAM только следующие строки:

Код:
HKEY_CURRENT_USER\SOFTWARE\Casino Tropez (Adware.Casino) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Casino Tropez (Adware.Casino) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\JetSwap (Adware.JetSwap) -> No action taken.
c:\Windows\pss\microsoft update.exe.startup (Trojan.Agent) -> No action taken.
Затем пролечитесь так:

http://support.kaspersky.ru/faq/?qid=208636926

+

Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Примечание: В случае, если ComboFix не запускается, переименуйте combofix.exe. Например: temp.exe

Подробнее в "ComboFix. Руководство по применению."
 

natalusik

Активный пользователь
Сообщения
12
Симпатии
1
#7
ComboFix 11-09-26.01 - Натали 26.09.2011 5:14.1.4 - x86
Microsoft Windows 7 Ultimate 6.1.7600.0.1251.7.1049.18.2486.1533 [GMT 6:00]
Running from: D:\ComboFix.exe
AV: avast! Antivirus *Disabled/Updated* {2B2D1395-420B-D5C9-657E-930FE358FC3C}
SP: avast! Antivirus *Disabled/Updated* {904CF271-6431-DA47-5FCE-A87D98DFB681}
SP: Windows Defender *Enabled/Outdated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
ADS - Windows: deleted 24 bytes in 1 streams.
.
((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\program files\VRazvedke
c:\program files\VRazvedke\release\cookies.txt
c:\programdata\cf
c:\windows\PFRO.log
c:\windows\XSxS
.
.
((((((((((((((((((((((((( Files Created from 2011-08-25 to 2011-09-25 )))))))))))))))))))))))))))))))
.
.
2011-09-25 18:28 . 2011-09-25 18:28 -------- d-----w- c:\users\Натали\AppData\Roaming\Malwarebytes
2011-09-25 18:28 . 2011-09-25 18:28 -------- d-----w- c:\programdata\Malwarebytes
2011-09-25 18:28 . 2011-09-25 18:28 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2011-09-25 18:28 . 2011-08-31 11:00 22216 ----a-w- c:\windows\system32\drivers\mbam.sys
2011-09-25 16:55 . 2011-09-25 18:20 -------- d-----w- c:\program files\trend micro
2011-09-25 16:55 . 2011-09-25 16:55 -------- d-----w- C:\rsit
2011-09-24 07:47 . 2011-09-24 07:47 -------- d-----w- c:\users\Натали\AppData\Local\Nokia
2011-09-24 07:47 . 2011-09-24 07:47 -------- d-----w- c:\users\Натали\AppData\Roaming\PC Suite
2011-09-22 13:33 . 2011-09-22 13:33 -------- d-----w- c:\users\Натали\AppData\Roaming\StageManager.BD092818F67280F4B42B04877600987F0111B594.1
2011-09-22 13:33 . 2011-09-22 13:33 -------- d-----w- c:\users\Натали\AppData\Roaming\Adobe Mini Bridge CS5
2011-09-22 13:24 . 2011-09-22 13:24 -------- d-----w- c:\programdata\regid.1986-12.com.adobe
2011-09-22 13:10 . 2011-09-22 13:10 -------- d-----w- c:\program files\Common Files\Adobe AIR
2011-09-21 11:29 . 2011-09-21 11:29 -------- d-----w- c:\program files\Google
2011-09-19 18:14 . 2011-09-19 18:14 -------- d-----w- c:\users\Натали\AppData\Local\Stardock
2011-09-19 18:14 . 2011-09-19 18:14 -------- d-----w- c:\program files\Stardock
2011-09-11 04:47 . 2011-08-29 08:00 74752 ----a-w- c:\windows\system32\ff_vfw.dll
2011-09-11 04:47 . 2011-07-16 14:17 151552 ----a-w- c:\windows\system32\ac3acm.acm
2011-09-11 04:47 . 2011-06-24 14:44 243200 ----a-w- c:\windows\system32\xvidvfw.dll
2011-09-11 04:47 . 2011-06-24 14:28 650752 ----a-w- c:\windows\system32\xvidcore.dll
2011-09-11 04:47 . 2006-10-18 18:05 232448 ----a-w- c:\windows\system32\mp3fhg.acm
2011-09-05 09:06 . 2011-09-05 09:06 -------- d-----w- c:\users\Натали\AppData\Roaming\Opera
2011-09-04 15:29 . 2011-09-21 11:30 -------- d-----w- c:\users\Натали\AppData\Local\Google
2011-08-31 16:20 . 2011-08-31 16:20 -------- d-----w- c:\users\РАБОТА
2011-08-31 16:20 . 2011-08-31 16:20 -------- d-sh--w- c:\windows\ftpcache
.
.
.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-09-25 16:58 . 2011-08-02 12:15 11264 ----a-w- c:\windows\system32\drivers\uzm1ndaw.sys
2011-09-22 10:56 . 2011-08-13 08:19 2516 --sha-w- c:\programdata\KGyGaAvL.sys
2011-09-22 10:56 . 2011-08-13 08:19 88 --sh--r- c:\programdata\951B4DD514.sys
2011-09-07 09:41 . 2011-05-02 16:09 134104 ----a-w- c:\program files\mozilla firefox\components\browsercomps.dll
.
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\00avast]
@="{472083B0-C522-11CF-8763-00608CC02F24}"
[HKEY_CLASSES_ROOT\CLSID\{472083B0-C522-11CF-8763-00608CC02F24}]
2011-02-23 15:04 122512 ----a-w- c:\program files\Alwil Software\Avast5\ashShell.dll
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2009-07-14 1173504]
"uTorrent"="c:\program files\uTorrent\uTorrent.exe" [2011-03-29 399736]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2010-08-03 136216]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2010-08-03 171032]
"Persistence"="c:\windows\system32\igfxpers.exe" [2010-08-03 170008]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2010-04-15 1721640]
"RTHDVCPL"="c:\program files\Realtek\Audio\HDA\RtkNGUI.exe" [2010-12-20 5421672]
"avast5"="c:\program files\Alwil Software\Avast5\avastUI.exe" [2011-02-23 3451496]
"AdobeAAMUpdater-1.0"="c:\program files\Common Files\Adobe\OOBE\PDApp\UWA\UpdaterStartupUtility.exe" [2011-09-22 500208]
"SwitchBoard"="c:\program files\Common Files\Adobe\SwitchBoard\SwitchBoard.exe" [2010-02-19 517096]
"AdobeCS5ServiceManager"="c:\program files\Common Files\Adobe\CS5ServiceManager\CS5ServiceManager.exe" [2010-02-21 406992]
"Malwarebytes' Anti-Malware"="c:\program files\Malwarebytes' Anti-Malware\mbamgui.exe" [2011-08-31 449608]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 0 (0x0)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableUIADesktopToggle"= 0 (0x0)
"PromptOnSecureDesktop"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux"=wdmaud.drv
.
[HKLM\~\startupfolder\C:^Users^Натали^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^Microsoft Update.exe]
path=c:\users\Натали\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Microsoft Update.exe
backup=c:\windows\pss\Microsoft Update.exe.Startup
backupExtension=.Startup
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NokiaMServer]
c:\program files\Common Files\Nokia\MPlatform\NokiaMServer [X]
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\2Gis Update Notifier]
2011-05-31 05:57 4581208 ----a-w- c:\program files\2gis\3.0\2GISTrayNotifier.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe ARM]
2011-03-30 04:59 937920 ----a-r- c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
2011-06-08 04:02 37296 ----a-w- c:\program files\Adobe\Reader 9.0\Reader\reader_sl.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}]
2007-06-27 14:03 152872 ----a-w- c:\program files\Common Files\Ahead\Lib\NMBgMonitor.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CloneCDTray]
2009-01-29 22:20 57344 ----a-w- c:\program files\SlySoft\CloneCD\CloneCDTray.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools Lite]
2010-04-01 09:16 357696 ----a-w- c:\program files\DAEMON Tools Lite\DTLite.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Dark]
2009-11-25 16:45 88576 ----a-w- c:\program files\Microsoft\DarkSetup\Dark.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Download Master]
2010-12-03 12:03 3902272 ----a-w- c:\program files\Download Master\dmaster.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Google Update]
2011-09-04 15:29 136176 ----atw- c:\users\Натали\AppData\Local\Google\Update\GoogleUpdate.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HP Quick Launch]
2010-09-28 13:08 584760 ----a-w- c:\program files\Hewlett-Packard\HP Quick Launch\HPMSGSVC.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IAStorIcon]
2010-04-13 04:57 284696 ----a-w- c:\program files\Intel\Intel(R) Rapid Storage Technology\IAStorIcon.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
2007-03-01 10:57 153136 ----a-w- c:\program files\Common Files\Ahead\Lib\NeroCheck.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\StartCCC]
2010-08-03 16:37 98304 ----a-w- c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\uTorrent]
2011-03-29 04:26 399736 ----a-w- c:\program files\uTorrent\uTorrent.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\wmagent.exe]
2009-10-19 11:47 210400 ----a-w- c:\program files\WebMoney Agent\wmagent.exe
.
R0 02004464;02004464;c:\windows\system32\drivers\73119728.sys [x]
R0 sptd;sptd;c:\windows\System32\Drivers\sptd.sys [x]
R1 vdm1ndaw;AVZ-BC Kernel Driver;c:\windows\system32\Drivers\vdm1ndaw.sys [x]
R3 2GISUpdateService;2GIS UpdateService;c:\program files\2gis\3.0\2GISUpdateService.exe [2011-05-31 874328]
R3 hwusbdev;Huawei DataCard USB PNP Device;c:\windows\system32\DRIVERS\ewusbdev.sys [x]
R3 massfilter;ZTE Mass Storage Filter Driver;c:\windows\system32\drivers\massfilter.sys [x]
R3 RTL8167;Realtek 8167 NT Driver;c:\windows\system32\DRIVERS\Rt86win7.sys [2010-11-30 327272]
R3 SwitchBoard;SwitchBoard;c:\program files\Common Files\Adobe\SwitchBoard\SwitchBoard.exe [2010-02-19 517096]
S1 aswSnx;aswSnx; [x]
S1 aswSP;aswSP; [x]
S1 uzm1ndaw;AVZ-RK Kernel Driver;c:\windows\system32\Drivers\uzm1ndaw.sys [2011-09-25 11264]
S1 vwififlt;Virtual WiFi Filter Driver;c:\windows\system32\DRIVERS\vwififlt.sys [2009-07-13 48128]
S1 WAC;WAC;c:\windows\system32\wac.sys [2011-01-01 241664]
S2 AERTFilters;Andrea RT Filters Service;c:\program files\Realtek\Audio\HDA\AERTSrv.exe [2009-11-18 87968]
S2 AMD External Events Utility;AMD External Events Utility;c:\windows\system32\atiesrxx.exe [2010-08-03 176128]
S2 aswFsBlk;aswFsBlk; [x]
S2 aswMonFlt;aswMonFlt;c:\windows\system32\drivers\aswMonFlt.sys [2011-02-23 53592]
S2 HPDrvMntSvc.exe;HP Quick Synchronization Service;c:\program files\Hewlett-Packard\Shared\HPDrvMntSvc.exe [2010-08-04 92216]
S2 HPWMISVC;HPWMISVC;c:\program files\Hewlett-Packard\HP Quick Launch\HPWMISVC.exe [2010-09-28 26680]
S2 IAStorDataMgrSvc;Intel(R) Rapid Storage Technology;c:\program files\Intel\Intel(R) Rapid Storage Technology\IAStorDataMgrSvc.exe [2010-04-13 13336]
S2 MBAMService;MBAMService;c:\program files\Malwarebytes' Anti-Malware\mbamservice.exe [2011-08-31 366152]
S2 RtVOsdService;RtVOsdService Installer;c:\program files\Realtek\RtVOsd\RtVOsdService.exe [2010-06-17 315392]
S2 UNS;Intel(R) Management & Security Application User Notification Service;c:\program files\Intel\Intel(R) Management Engine Components\UNS\UNS.exe [2010-03-18 2320920]
S3 amdkmdag;amdkmdag;c:\windows\system32\DRIVERS\atikmdag.sys [2010-08-03 5586432]
S3 amdkmdap;amdkmdap;c:\windows\system32\DRIVERS\atikmpag.sys [2010-08-03 210432]
S3 AtiHDAudioService;ATI Function Driver for HD Audio Service;c:\windows\system32\drivers\AtihdW73.sys [2010-11-17 101392]
S3 intelkmd;intelkmd;c:\windows\system32\DRIVERS\igdpmd32.sys [2010-08-03 8758272]
S3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [2011-08-31 22216]
.
.
Contents of the 'Scheduled Tasks' folder
.
.
------- Supplementary Scan -------
.
uDefault_Search_URL =
mStart Page = about:blank
mSearch Bar =
IE: &Экспорт в Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200
IE: Закачать ВСЕ при помощи Download Master - c:\program files\Download Master\dmieall.htm
IE: Закачать при помощи Download Master - c:\program files\Download Master\dmie.htm
IE: Передать на удаленную закачку DM - c:\program files\Download Master\remdown.htm
TCP: DhcpNameServer = 192.168.0.1
FF - ProfilePath - c:\users\Натали\AppData\Roaming\Mozilla\Firefox\Profiles\gsg800no.default\
FF - prefs.js: browser.search.selectedEngine - Яндекс
FF - prefs.js: browser.startup.homepage - about:home
FF - prefs.js: keyword.URL - hxxp://go.mail.ru/search?utf8in=1&fr=fftbUFix&q=
FF - prefs.js: network.proxy.type - 0
.
- - - - ORPHANS REMOVED - - - -
.
WebBrowser-{D4027C7F-154A-4066-A1AD-4243D8127440} - (no file)
HKCU-Run-AdobeBridge - (no file)
SafeBoot-02004464.sys
MSConfigStartUp-Guard.Mail.ru - c:\program files\Mail.Ru\Guard\GuardMailRu.exe
MSConfigStartUp-jsafesurf - c:\program files\SafeSurf\safesurf.exe
MSConfigStartUp-MAgent - c:\program files\Mail.Ru\Agent\MAgent.exe
MSConfigStartUp-MgnADISRun - c:\program files\Maginfo\DiagnosticUtility\MgnAutoDiag.exe
MSConfigStartUp-MgnVpnRenewer - c:\users\Натали\AppData\Roaming\Интернет Магинфо\vpnRepair.vbs
AddRemove-Vpn интернет - c:\users\Натали\AppData\Roaming\Интернет Магинфо\uninstall.exe
.
.
.
--------------------- LOCKED REGISTRY KEYS ---------------------
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
Completion time: 2011-09-26 05:30:28
ComboFix-quarantined-files.txt 2011-09-25 23:30
.
Pre-Run: 4*011*524*096 байт свободно
Post-Run: 4*249*939*968 байт свободно
.
- - End Of File - - DD56C5875366BA28DF5FB330BAAEBF04
 
Последнее редактирование модератором:

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,434
Симпатии
8,699
#8
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
Код:
KillAll::

Registry::
[-HKLM\~\startupfolder\C:^Users^Натали^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^Microsoft Update.exe]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Users^Натали^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^Microsoft Update.exe]

Reboot::
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.

Лог TDSSKiller тоже приложите, находится в корне системного диска
 
Последнее редактирование:

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,434
Симпатии
8,699
#10
И давно не запускается?

После разблокировки контакта, смените все пароли, почта, аська и проч.

Как в остальном самочувствие системы?
 

natalusik

Активный пользователь
Сообщения
12
Симпатии
1
#11
до вируса все работало а сейчас многие приложения не запускаются, пишется "попытка произвести недопустимую операцию над параметром реестра помеченным на удаление"
загружается с 3-го, 4-го раза, при загрузке винды вылезает синий экран, не успеваю прочитать что там написано что то про краш дамп систем и снова начинается загрузка как будто работа виндоус была завершена неправильно предлагает обычную загрузку виндоус или безопасный режим
ну и контакт не фунциклирует а в остальном вроде бы как и было раньше

программы запускаются только от имени администратора

Добавлено через 30 минут 22 секунды
после перезагрузки все стало нормально открываться и загрузился нормально, только контакт не работает и все
 
Последнее редактирование:

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,434
Симпатии
8,699
#12
Запакуйте папку C:\Qoobox\Quarantine\ в архив Quarantine.zip c паролем virus и отправьте по форме указанной выше.

Подготовьте лог uVS

Выполните также заново правила.

Контакт просто не открывается или говорит, что доступ закрыт, заблокирован, просит отправить SMS?
 

natalusik

Активный пользователь
Сообщения
12
Симпатии
1
#13
вот что пишет: "С Вашей страницы неоднократно рассылался спам, поэтому она была заблокирована вчера в 21:00.
Возможно, Ваша страница была взломана. В целях безопасности мы просим Вас изменить пароль, перед тем как войти на сайт."

а если с телефона в контакте такая же фигня значит я на телефон такую же беду поймала?
 

Вложения

Последнее редактирование модератором:

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,434
Симпатии
8,699
#14
вот что пишет: "С Вашей страницы неоднократно рассылался спам, поэтому она была заблокирована вчера в 21:00.
Возможно, Ваша страница была взломана. В целях безопасности мы просим Вас изменить пароль, перед тем как войти на сайт."

а если с телефона в контакте такая же фигня значит я на телефон такую же беду поймала?
Нет, это значит надо сменить пароли когда снимут блокировку.

Логи смогу поглядеть только вечером.
 

natalusik

Активный пользователь
Сообщения
12
Симпатии
1
#15
да я бы и рада пароль сменить да только ничего не происходит когда нажимаю изменить пароль
 

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,434
Симпатии
8,699
#16
да я бы и рада пароль сменить да только ничего не происходит когда нажимаю изменить пароль
Попробуйте в другом браузере.
Когда закончится блокировка?

Выполните скрипт в uVS:

Код:
;uVS v3.71 script [http://dsrt.dyndns.org]

delall %Sys32%\DRIVERS\73119728.SYS
delref HTTP://WEBALTA.RU
delref HTTP://WEBALTA.RU/POISK
delall OSETUP.DLL
clrmd
regt 13
restart
Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду Combofix /Uninstall, нажмите кнопку "ОК"


Скачайте OTCleanIt или с зеркала, запустите, нажмите Clean up
 

natalusik

Активный пользователь
Сообщения
12
Симпатии
1
#17
в контакт я зашла а вот синий экран вылезает при загрузке иногда прям раза с пятого запускается(((((

Добавлено через 53 секунды
попробую сейчас успеть прочитать что там написано
 

Lexer

Активный пользователь
Сообщения
364
Симпатии
69
#18
попробую сейчас успеть прочитать что там написано
Для того, чтобы прочитать что там написано, а лучше сфотографировать и фото выложить сюда - Кликните правой клавишей на иконке "Мой компьютер", выберите "Свойства". Выберите закладку "Дополнительно", в ней раздел "Загрузка и восстановление". В этом разделе нажмите кнопку "Параметры". Уберите галку из пункта "Выполнить автоматическую перезагрузку" В секции "Запись отладочной информации" выберите "Малый дамп памяти (64кб)". Закройте все окна кнопками "ОК".

Удалите все файлы из папки С:\Windows\Minidump.

После очередного возникновения синего экрана компьютер скинет необходимую для понимания проблемы информацию в специальный файл. Вы сможете найти эти файлы тут:
С:\Windows\Minidump и выложите три последних минидампа сюда.
 
Последнее редактирование:
Статус
В этой теме нельзя размещать новые ответы.