Еще. Посмотрите по логам Аваста или в его карантине(если сохранился) путь(из какой папки был удален) к тому "удаленномму" трояну и его название.
Это сообщение отредактировал Semenka - 04-06-2009 - 23:03
буквы последнее - A0070059.dll
Проверка Dr.WebCureIt в безопасном режиме проводилась 1пункт по ссылке? Какие результаты?
Если хотите помощи, пишите подробнее о своих действиях. Я например, даже не знаю какая у вас система(может 64), а советов уже надавал.
Сделайте логи АВЗ и Hijack, как написано в правилах по ссылке, чтобы не продолжать бессмысленный разговор.
rncsys32.exe c:\documents and settings\котик\start menu\programs\startup Trojan.Botnetlog.11 Удален.
котик.exe c:\documents and settings\котик Trojan.Inject.5802 Удален.
systemntmi.sys c:\windows\system32\drivers Trojan.DownLoad.38180 Удален.
~TM7.tmp C:\Documents and Settings\котик\Local Settings\Temp Trojan.Botnetlog.11 Удален.
A0070056.sys C:\System Volume Information\_restore{FE5F7835-B79B-48BF-9D45-90F0021BB858}\RP120 Trojan.DownLoad.38180 Удален.
A0070057.sys C:\System Volume Information\_restore{FE5F7835-B79B-48BF-9D45-90F0021BB858}\RP120 Trojan.DownLoad.38180 Удален.
A0070058.sys C:\System Volume Information\_restore{FE5F7835-B79B-48BF-9D45-90F0021BB858}\RP120 Trojan.DownLoad.38180 Удален.
A0099083.exe C:\System Volume Information\_restore{FE5F7835-B79B-48BF-9D45-90F0021BB858}\RP120 Trojan.Botnetlog.11 Удален.
A0099084.exe C:\System Volume Information\_restore{FE5F7835-B79B-48BF-9D45-90F0021BB858}\RP120 Trojan.Inject.5802 Удален.
A0099085.sys C:\System Volume Information\_restore{FE5F7835-B79B-48BF-9D45-90F0021BB858}\RP120 Trojan.DownLoad.38180 Удален.
A0058109.exe C:\System Volume Information\_restore{FE5F7835-B79B-48BF-9D45-90F0021BB858}\RP105 Adware.FieryAds.16 - ошибка чтения Неправильный путь к файлу
На компе у меня стоит XP об этом писал в первом посте.
| QUOTE (кузюка @ 06.06.2009 - время: 21:22) |
| Сделал, как указано скачал утилиту AVZ, распаковал в WinRar, но в папке нет типичного значка для exe. Так, что запускать нечего. Подскажите выход. |
Не поня, что значит типичный значек для .ехе, ну да ладно..
Отключите системное восстановление!, как написал в предыдущем сообщении. Это сделано?! Очистка диска от временных файлов сделана?
Лог Hijack This где? Или тоже не запускается или ехе файла нет?
скачайте АВЗ от сюда http://z-oleg.com/avz4.zip или отсюда
распакуйте архив на раб.стол, обновите базы(файл\обновление баз), отключите интернет, аваст(если он заработал), сделайте логи.На крайний случай можно скачать эту АВЗ(ее базы обновлять не нужно), но это нежелательно:
(перед запуском, распаковать в отделную папку на раб. столе)| QUOTE (кузюка @ 06.06.2009 - время: 22:17) |
| Прошел по последней ссылке, сделал все, как указано, скачал, установил, но програмка не открывается. По всем направлениям тупик. |
Только без паники. Переименуйте файл avz.exe в football.exe или football.pif после этого запускайте и выполняйте.
Вы читаете мои сообщения? Где лог Hijack This??? Ну как вам еще написать, чтобы были внимательнее?
Это сообщение отредактировал Semenka - 06-06-2009 - 22:22
| QUOTE (кузюка @ 06.06.2009 - время: 22:27) |
| Там вообще нет exe. Есть значок в виде щита с мечом, но кликая на него он не открывается. |
А другие ехе файлы(любые программы) видны? Скриншот можете сделать?
Пуск -Панель управления - Свойства папки - Вид - снимите отметку с параметра "Скрывать расширения для зарегистрированных типов файлов"
| QUOTE (кузюка @ 06.06.2009 - время: 23:01) |
| После переименования АВЗ запустился и сейчас сканирует. а вот HijackThis нахадится в програмных файлах, было предупреждение об установке новых программ, но програмка не запускается. |
HijackThis тоже переименуйте перед запуском.
После проверки АВЗ, всю папку LOG(если не окажется слишком тяжелой) запакуйте в архив и залейте http://www.slil.ru/
Это сообщение отредактировал Semenka - 06-06-2009 - 23:09
| QUOTE (кузюка @ 07.06.2009 - время: 00:04) |
| Сканирование АВЗ прошло, подпапка создана, но при запуске скрипта выскакивает сообщение "Ошибка "BEGIN" expected, в позиции 1:1" |
Где папка LOG? Какое еще сканирование?
Нужно читать правила внимательно.
АВЗ\файл\стандартные скрипты\скрипт №3 лечения и карантина.... галочку поставить\пуск\перезагрузиться.
Делайте только то, что я пишу. ДОСЛОВНО! Никакой самодеятельности, если не хотите переустанавливать систему.
Это сообщение отредактировал Semenka - 07-06-2009 - 00:15
| QUOTE (кузюка @ 07.06.2009 - время: 00:41) |
| Проверку HijackThis закончил. выделил все позиции, нажал кнопку для лечения. Выскачило предупреждение, как я догадываюсь о том, что если некоторые файлы будут удалены, то появятся проблемы с системой. |
Если вы нажмете на кнопку подтверждения, останетесь совсем без системы. Отмените это действие и закройте HijackThis!
Последний совет проверить систему в безопасном режиме вот этой программой. Может помочь, там все подробно описано на русском языке.
http://avptool.virusinfo.info/
Это сообщение отредактировал Semenka - 07-06-2009 - 02:25
... распаковать из архивов и положить их в отодельные папки на рабочем столе.
Запустить файл avz.exe из папки avz4, в меню- "файл" выбрать "обновление баз".
Обновить базы.
2. Отключить "восстановление системмы"(и не включать до окончания лечения!) -правый клик на Мой компьютер\свойства\вкладка "восстановление системмы" поставить галку отключить\применить\ок.
3. Очистить все временные файлы из Temp-папок, и корзины!
4.Отключиться от интернета и закрыть все запущенные приложения(кроме IE ), включая ваш антивирус и фаервол!
5. Запустить*** AVZ\файл\выполнить стандартные скрипты\скрипт №3 "лечения и карантина и сбора информации..." поставить напротв строки галочку, нажать кнопку "выполнить отмеченные скрипты"
После выполнения перезагрузить систему!
6. После этого, таким же образом, выполнить стандартный скрипт №2(перезагрузка не обязательна).
7. запустить*** HijackThis, нажать "Do a system scan and save a logfile.
Лог, в виде текстового файла, сохранится в папке с программой HijackThis.
8. Логи АВЗ: virusinfo_syscure.zip и virusinfo_syscheck.zip сохранятся в папке avz4\LOG.
Эти логи + hijackthis.log залить на http://www.slil.ru/.
***Все пункты выполнять от имени администратора!
В Windows Vista администратор понижен в правах по умолчанию, поэтому запускать нужно нажав правой кнопкой мыши на запускаемую программу(AVZ и HijackThis), выбрать пункт "запустить от имени администратора (Run as administrator)", ввести пароль и нажать кнопку OK.
троянская программа Trojan.Win32.Agent.ckda Файл: c:\windows\system32\12520437z.exe
удалено: троянская программа Exploit.Win32.Pidief.axk Файл: C:\Documents and Settings\котик\Local Settings\Temp\AcrA.tmp
Мне ваше сообщение ни о чем не говорит, кроме как то, что у вас зоопарк в системе.
Если в следующем вашем сообщении не будет логов AVZ и Hijack по правилам, помощь со своей стороны прекращаю.
Инструкция у вас есть, внимательно читайте и действуйте.