на счет курита понял что обязательно загружаться с него отделатьно из другой темы.

результаты проверки с лечением от avz: »
Это не пойдёт. Запустите avz меню файл - стандартные скрипты . выполните стандартный скрипт 2, лог virusinfo_syscheck.zip выложите сюда. подготовьте логи RSIT (инструкция в правилах).

Выполнил.

ок, и ещё

Скачайте RSIT (http://www.safezone.cc/random/RSIT.exe) или c зеркала (http://images.malwareremoval.com/random/RSIT.exe). Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

Katharsis, спасибо что помогаете))

Если есть возможность у вас подождать ответа по новым логам до завтра - подождите, если нет - запакуйте в 1 архив и на любой файлообменник. У меня технически нет возможности скачать их отсюда.

Я подожду до завтра) Есть вопрос. Мне сказали записать курит на диск. Но как его записать с помощью неро на диск? Он ведь экзешник, и когда я его кидаю в проекте "boot" то мне выдает ошибку при записи.

Сureit можно записать как обычный проект, не загрузочный. Загрузочный это iso drweb livecd. Запишите обычный и запустите с диска на ночь в безопасном режиме.

drovosek, доброе утро, как самочувствие?
Александр вчера вел вас до победного конца:)

Смело удаляйте все, что нашла МВАМ.

Если не удалили еще, пришлите, пожалуйста, карантин вчерашний мне на мыло sfera279@rambler.ru
хочу посмотреть, что это был за зловред :)
от Каспера долго ждать результата

и сюда

quarantine<at>virusnet.info (at=@) с указанной ссылкой на тему и вашим ником(именем на форуме). , в названии темы укажите - "Проверка карантина". В теле сообщения укажите адрес своей темы и ник форуме. Результаты ответа, сообщите здесь, в теме.

Пофиксить в HijackThis (http://forum.oszone.net/post-1430293-2.html) следующие строчки:
O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file)
O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)


Далее, не вижу оного более в системе, остались только зараженный трояном контрольные точки, избавляемся от них

Отключите:
Антивирус/Файерволл

AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.


procedure ClearSystemRestore;
var
Script: TStringList;
winName: string;
begin
if IsNT then
begin
winName := UpperCase(RegKeyStrParamRead('HKLM', 'Software\Microsoft\Windows NT\CurrentVersion', 'ProductName'));
case (Pos('WINDOWS VISTA', winName) > 0) or (Pos('WINDOWS 7', winName) > 0) of
True:
begin
ExecuteFile('wmic', 'shadowcopy delete', 0, 60000, False);
ExecuteFile('wmic', '/Namespace:\\root\default Path SystemRestore Call CreateRestorePoint "PointSafeZone", 100, 12', 0, 60000, False);
end;
False:
begin
Script := TStringList.Create;
Script.Add(
'Set objSR = GetObject("winmgmts:\\.\root\default:SystemRestore")' + #13#10 +
'dResult = objSR.Disable("")' + #13#10 +
'WScript.Sleep 5000' + #13#10 +
'eResult = objSR.Enable("")' + #13#10 +
'WScript.Sleep 5000' + #13#10 +
'Set wshEnv = CreateObject("WScript.Shell").Environment("Process")' + #13#10 +
'sysDrive = wshEnv("SYSTEMDRIVE")' + #13#10 +
'Set objWMI = GetObject("winmgmts:{impersonationLevel=impersonate}!\\.\root\cimv2")' + #13#10 +
'For Each objDisk In objWMI.ExecQuery("Select DeviceID From Win32_LogicalDisk Where DriveType = 3")' + #13#10 +
'If objDisk.DeviceID <> sysDrive Then objSR.Disable objDisk.DeviceID & "\"' + #13#10 +
'Next');
Script.SaveToFile('ClearSR.vbs');
ExecuteFile('wscript.exe', 'ClearSR.vbs', 0, 60000, True);
DeleteFile('ClearSR.vbs');
ClearLog;
Script.Free;
end;
end;
end;
end;

begin
ClearSystemRestore;
end.


или так

Создайте новую контрольную точку восстановления и очистите предыдущие:
1. Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно-Восстановление системы нажмите Очистить
2. Нажмите Пуск- Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать.
Очистите временные файлы через Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner (http://www.atribune.org/ccount/click.php?id=1) скачайте ATF Cleaner (http://www.atribune.org/ccount/click.php?id=1), запустите, поставьте галочку напротив Select All и нажмите Empty Selected. если вы используете Firefox, нажмите Firefox - Select All - Empty Selected нажмите No, если вы хотите оставить ваши сохраненные пароли если вы используете Opera, нажмите Opera - Select All - Empty Selected нажмите No, если вы хотите оставить ваши сохраненные пароли

Обновляем:
Internet Explorer до IE8 (http://www.microsoft.com/windows/internet-explorer/worldwide-sites.aspx) для вашей безопасности, даже, если им не пользуетесь.
продукты Adobe (http://www.adobe.com/ru/downloads/)
Следим за своевременным обновлением Java

Куритом еще не проверился((
_________________________________
SolarSpark, Здравствуйте))
хочу посмотреть, что это был за зловред »
отправил, не забудьте только пожалуйста мне рассказать
quarantine<at>virusnet.info (at=@) с указанной ссылкой на тему и вашим ником(именем на форуме). , в названии темы укажите - "Проверка карантина". В теле сообщения укажите адрес своей темы и ник форуме. Результаты ответа, сообщите здесь, в теме. »
не нашел куда((
Пофиксить в HijackThis следующие строчки: »
Профиксил. Но когда нажал фиксить, он выдал ошибку, как я полнял из-за того, что у меня был открыт проводник и опера. Я хотел профиксить еще раз, но этих строк уже не было. Выкладываю еще раз лог, который вышел.AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить. »
к сожалению при запуске, мне выдало ошибку. Ругался на begin в 19 строчке вроде. И я стал делать вторым способом.
2. Нажмите Пуск- Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать.
Очистите временные файлы через Пуск-Программы-Стандартные-Служебные-Очистка диска »
это я сделал, но решил очистить еще с помощью ATF Cleaner »
во-первыхпоставьте галочку напротив Select All »
вместо этого была черная полоса просто (мб вирус постарался). Выбрав все пункты янажмите Empty Selected »
но мне выдало ошибку
Done cleaning!! ATF cleaner has freed 882,293 MBs :clever-ma

Обновляем:
Internet Explorer до IE8 для вашей безопасности, даже, если им не пользуетесь »
а если у меня вообще нет IE? :lo:

а если у меня вообще нет IE? »
вроде как есть 6 версия)

к сожалению при запуске, мне выдало ошибку »
прошу прощения-скрипт поправила, можете использовать :)

не нашел куда(( »
quarantine@virusnet.info - это электронный адрес

вроде как есть 6 версия) »
о_О действительно есть. А в установках и удаления программ его нет. Как удалить эту какашку полностью тогда?
и еще вопрос с куритом. Надо ли обязательно ставить защиту от записи на болванку. Я не нашел такой функции в неро 6 когда записывал. Вроде бы если я с него буду грузиться, то вирус точно ничего не сделает.

quarantine@virusnet.info - это электронный адрес »
отправилпрошу прощения-скрипт поправила, можете использовать »
не стоит извиняться, без вас бы мне вообще бы......)))
выполнил скрипт, все успешно

Осталось куритом провериться, и дождаться исселодования карантина?

удалить эту какашку полностью тогда? »
никак, это часть операционной системы, просто обновитесь до актуальной версии по моей ссылке, закроются уязвимости.

Карантин, к сожалению, пуст...(( эххх, как жаль, в последнее время этот зловред весьма активизировался, так что все равно выцепим его :grin:

ну, проверяйтесь куриетом и придерживайтесь рекомендаций
- не работать за компьютером с правами администратора
- при использовании Internet Explorer отключить в нем ActiveX и настроить безопасность (рекомендую использовать Firefox c плагином NoScript)
- регулярно устанавливать обновления windows и обновлять антивирусные базы.

Надо ли обязательно ставить защиту от записи на болванку. »
пропустила вопрос) ответ: не думаю, что если нет такой функции, то непременно обязательно.
Желательно записать этот диск/флешку на Здоровом компе и пролечить больной ПК в безопасном режиме.

В целях профилактики заражения со съемных носителей примените твик реестра
Для этого скопируйте этот код в блокнот, сохраните под любым именем с расширением .reg Кликните по файлу и подтвердите добавление в реестр.

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000dd

Удачи вам, больше не болейте.

Обязательно смените все ваши пароли, этот вирь их угоняет.

хорошо

хочу посмотреть, что это был за зловред »
отправил, не забудьте только пожалуйста мне рассказать »
c:\windows\apppatch\mrgzyeu.dat - backdoor.win32.shiz (если вдруг ответа не будет) Это не по результатам анализа вашего карантина, а по совпадению имени файла (семь_латинских_букв.dat), расположения и поведения.

Спасибо.

прочитал про него
"а так же удаляя критические для загрузки ОС файлы: ntldr ntdetect.com находящиеся на системном диске."
у меня бывает при загрузки windows зависает. Это не он случайно виновен?

если бы у вас были снесены эти файлы, винда бы вообще не загрузилась, вместо этого вы увидели бы на черном экране надпись "NTLDR is missing"при загрузки windows зависает »
причин может быть куча, можете сделать лог загрузки и посмотреть что тормозит.