Проблема -вирус ростелеком.

Почему лог RSIT не полный?

Отключите:
Антивирус/Файерволл

AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.


begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
QuarantineFile('C:\Windows\system32\wmzspwc.dll','');
DeleteFile('C:\Windows\system32\wmzspwc.dll');
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs', '');
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
DeleteFileMask('C:\WINDOWS\TEMP\', '*.*', true);
DeleteFileMask(GetEnvironmentVariable ('Temp'), '*.*', true);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.




После выполнения скрипта компьютер перезагрузится!

После перезагрузки выполните такой скрипт:

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.


В результате выполнения скрипта будет сформирован карантин.Отправьте quarantine.zip при помощи этой (http://www.oszone.net/virusnet/) формы. В теле письма укажите свой ник на форуме и ссылку на тему

Пофиксить в HijackThis (http://forum.oszone.net/post-1430293-2.html) следующие строчки:
O20 - AppInit_DLLs: C:\Windows\system32\wmzspwc.dll

Сделайте повторные логи AVZ + RSIT

Внимание !!! База поcледний раз обновлялась 25.08.2010 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)

Скачайте Malwarebytes' Anti-Malware (http://www.besttechie.net/mbam/mbam-setup.exe) или с зеркала (http://download.bleepingcomputer.com/malwarebytes/mbam-setup.exe), установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. http://data.mbamupdates.com/tools/mbam-rules.exe Загрузить обновление MBAM

Почему лог RSIT не полный?
пишет какую-то ошибку.

Лог MBAM сделайте потом поглядим!

AVZ- закрывается после ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');


пишет вот что

Сигнатура проблемы:
Имя события проблемы: APPCRASH
Имя приложения: avz.exe
Версия приложения: 4.35.0.1
Отметка времени приложения: 2a425e19
Имя модуля с ошибкой: advapi32.dll
Версия модуля с ошибкой: 6.1.7600.16385
Отметка времени модуля с ошибкой: 4a5bd97e
Код исключения: c0000096
Смещение исключения: 00022a53
Версия ОС: 6.1.7600.2.0.0.256.1
Код языка: 1049
Дополнительные сведения 1: c396
Дополнительные сведения 2: c396f6d0bf25ca718fa81ec7f959a449
Дополнительные сведения 3: c396
Дополнительные сведения 4: c396f6d0bf25ca718fa81ec7f959a449


Что делать. Помогите, пжлст

Попробуйте выполнить скрипт в безопасном режиме.

Или:

Скачайте RKill by Grinler на рабочий стол по одной из этих ссылок


eXplorer.exe (http://download.bleepingcomputer.com/grinler/eXplorer.exe)
iExplore.exe (http://download.bleepingcomputer.com/grinler/iExplore.exe)
WiNlOgOn.exe (http://download.bleepingcomputer.com/grinler/WiNlOgOn.exe)
uSeRiNiT.exe (http://download.bleepingcomputer.com/grinler/uSeRiNiT.exe)


Отключите антивирусное ПО и запустите программу.
Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".

Дождитесь окончания работы программы и формирования лога который будет находиться по адресу C:\rkill.log. Прикрепите его к своему сообщению.

Не перезагружая компьютер выполните скрипт в АВЗ.

begin
SetAVZGuardStatus(True);
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
QuarantineFile('C:\Windows\system32\wmzspwc.dll','');
DeleteFile('C:\Windows\system32\wmzspwc.dll');
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs', '');
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
DeleteFileMask('C:\WINDOWS\TEMP\', '*.*', true);
DeleteFileMask(GetEnvironmentVariable ('Temp'), '*.*', true);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Далее выполняйте из первого ответа консультанта.

спасибо

в HijackThis нет строчки:
Код:
O20 - AppInit_DLLs: C:\Windows\system32\wmzspwc.dll

что делать?

результат Malwarebytes' Anti-Malware

Malwarebytes' Anti-Malware 1.51.1.1800
www.malwarebytes.org

Версия базы данных: 7410

Windows 6.1.7600
Internet Explorer 8.0.7600.16385

08.08.2011 20:15:10
mbam-log-2011-08-08 (20-14-36).txt

Тип сканирования: Полное сканирование (C:\|D:\|)
Просканированные объекты: 224662
Времени прошло: 40 минут, 2 секунд

Зараженные процессы в памяти: 0
Зараженные модули в памяти: 0
Зараженные ключи в реестре: 0
Зараженные параметры в реестре: 1
Объекты реестра заражены: 3
Зараженные папки: 0
Зараженные файлы: 3

Зараженные процессы в памяти:
(Вредоносных программ не обнаружено)

Зараженные модули в памяти:
(Вредоносных программ не обнаружено)

Зараженные ключи в реестре:
(Вредоносных программ не обнаружено)

Зараженные параметры в реестре:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\ForceClassicControlPan el (Hijack.ControlPanelStyle) -> Value: ForceClassicControlPanel -> No action taken.

Объекты реестра заражены:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.

Зараженные папки:
(Вредоносных программ не обнаружено)

Зараженные файлы:
c:\Users\администратор\downloads\rћr±rѕrѕrіrёs‚sњ_directx_11_windows_7.exe (Trojan.Downloader) -> No action taken.
c:\Windows\System32\CPLDAPU\ProduKey.exe (PUP.PSWTool.ProductKey) -> No action taken.
c:\Users\администратор\Desktop\eXplorer.exe (Heuristics.Reserved.Word.Exploit) -> No action taken.

Удалите в MBAM только следующее:

c:\Users\администратор\downloads\rћr±rѕrѕrіrёs‚sњ_directx_11_windows_7.exe (Trojan.Downloader) -> No action taken.

Сделайте повторные логи AVZ и RSIT.

удалил все! поздно... надеюсь ничего страшного?

Ну в принципе ничего, разве, что чуть-чуть сбили настройки системы (отображение предупреждений об отключенном антивирусе или файрволле), некоторые настройки ускорения меню Пуск.

Программку Produkey либо восстановите на вкладке карантин, либо переустановите.

Остальное нестрашно))

Ждем запрошенные логи. Подчистим оставшийся, так сказать мусор)))

вот

Удалите из сообщения quarantine.zip и virusinfo_cure.zip отправьте их с помощью этой формы:
http://www.oszone.net/virusnet/

Попробуйте выполнить лог RSIT

rsit не работает

Для своей версии Windows качаете?