продаю toshiba satellite a200-1m5

[Eschestowa]

Доброе утро!
http://webfile.ru/4256834 - virusinfo_syscure.zip
http://webfile.ru/4256838 - hijackthis.log

 

[01pump]

Eschestowa,
Запустив hijackthis кнопкой "Do a system scan only" откроется таблица. В ней найдите и отметьте следующую строчку

F2 - REG:system.ini: Shell=Explorer.exe csrcs.exe

Затем нажмите FIX checked

Запустите снова avz: Файл-выполнить скрипт- в открывшееся окно внимательно!!! вставить текст:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteFile('d:\windows\system32\csrcs.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\RunServices','csrcs');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','csrcs');
 DeleteFile('Explorer.exe csrcs.exe');
 DeleteFile('D:\WINDOWS\system32\appwiz.cpl:Y5D');
 ExecuteSysClean;
 ExecuteRepair(6);
 ExecuteRepair(11);
 ExecuteRepair(12);     
 ExecuteRepair(16);
 ExecuteRepair(17);
RebootWindows(true);
end.

Затем нажимаем "Запустить" ПРОИЗОЙДЕТ ПЕРЕЗАГРУЗКА!!!!!
После перезагрузки выполнить в avz стандартный скрипт №2 и прислать virusinfo_syscheck.zip и новый лог hijackthis

 

[Eschestowa]

http://webfile.ru/4256991 - hijackthis.log
http://webfile.ru/4256998 - virusinfo_syscheck.zip

 

[01pump]

Eschestowa,

Пофиските в hijackthis эту строку

O20 - AppInit_DLLs: D:\WINDOWS\system32\appwiz.cpl:Y5D

И в avz выполните это

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221); 
RebootWindows(true);
end.

После перезагрузки выполните новые логи.

 

[Eschestowa]

http://webfile.ru/4257071 - virusinfo_syscheck.zip
http://webfile.ru/4257075 - hijackthis.log

 

[01pump]

Eschestowa,
Как самочувствие системы?

 

[Eschestowa]

На вид здоровая, все, вроде, работает. Диспетчер задач запустился и т.д.
Спасибо Вам большое.

 

[petek]

01pump,
Вот свежие логи всех утилит:
http://exfile.ru/80878 - ADSSpy.txt
http://exfile.ru/80879 - virusinfo_syscure.zip
http://exfile.ru/80880 - hijackthis.log

 

[01pump]

petek,
Грузимся снова с LiveCD и запускаем Hijackthis с удаленным реестром кнопкой "Do a system scan only" откроется таблица. В ней найдите и отметьте следующие строчки

F2 - REG:system.ini: Shell=Explorer.exe rundll32.exe pnko.jso iefgnn
O4 - HKLM\..\Run: [soundmix] C:\WINDOWS\system32\soundmix.exe
O4 - HKLM\..\Run: [SYS1] C:\WINDOWS\system32\system.exe
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

Затем нажмите FIX checked

Запустите снова avz: Файл-выполнить скрипт- в открывшееся окно внимательно!!! вставить текст:

begin
 DeleteFile('C:\WINDOWS\system32\dllcache\c_861.nls : GhtTED');
 DeleteFile('C:\WINDOWS\system32\system.exe');      
 DeleteFile('C:\WINDOWS\system32\soundmix.exe');     
end.

И нажмите "Запустить"

После чего перезагрузитесь и попробуйте в обычной винде выполнить стандартный скрипт №2 и прислать архив virusinfo_syscheck.zip

 

[petek]

01pump
Готово - http://exfile.ru/80956

 

[01pump]

01pump
Готово - http://exfile.ru/80956

Вы внимательно читает то что вам пишут? Это не то что я просил

 

[petek]

Виноват Но у меня в папке LOG нет такого файла, и avz не запускается опять же

 

[01pump]

Виноват Но у меня в папке LOG нет такого файла, и avz не запускается опять же

Я с вас балдею

Запустите снова adss только выберите не только папку Windows а весь диск С и пришлите лог

ЗЫ А Hijackthis переименованная тоже не запускается?

 

[petek]

01pump,
Hijackthis запустился без проблем - http://exfile.ru/80967
ADSSpy - http://exfile.ru/80968

 

[01pump]

petek,

Попробуйте все же с LiveCD грохнуть такие файлы в логе C:\WINDOWS\system32\dllcache\c_861.nls : GhtTED

Зы Hijackthis слепа.
В удаленном реестре в ветке

HKEY_LOCAL_MACHINE_D \SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows (где D буква вашего системного диска)

и открыв её справа смотрите параметр AppInit_DLLs и его значение. И если он типа такого C:\WINDOWS\system32\dllcache\c_861.nls : GhtTED то удалите это значение и перезагрузитесь

 

[petek]

01pump,

Попробуйте все же с LiveCD грохнуть такие файлы в логе C:\WINDOWS\system32\dllcache\c_861.nls : GhtTED

Удалил этот файл, дальше загружаться в обычном режиме?

 

[01pump]

01pump,

Удалил этот файл, дальше загружаться в обычном режиме?

Разумеется!
Нам важен запуск avz

 

[petek]

01pump,
Вот теперь avz запустился без проблем: http://exfile.ru/80970

 

[01pump]

petek,
Отлично!

Запустите снова avz: Файл-Выполнить скрипт- в открывшееся окно внимательно вставьте текст:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('abp470n5');
DeleteFile('C:\WINDOWS\system32\drivers\pmlnkn.sys');
DeleteFile('C:\RECYCLER\S-1-5-21-4575524993-2436767892-917563482-9429\nissan.exe');
DeleteFile('C:\WINDOWS\system32\dllcache\c_861.nls:GhtTED');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
ExecuteSysClean;
ExecuteRepair(6);
ExecuteRepair(10);
ExecuteRepair(11);
ExecuteRepair(12);
ExecuteRepair(17);
RebootWindows(true);
end.

затем нажмите "Запустить" ПРОИЗОЙДЕТ ПЕРЕЗАГРУЗКА!!!
После перезагрузки выполните в avz стандартный скрипт №2 и пришлите архив virusinfo_syscheck.zip + лог от программы hijackthis

 

[petek]

01pump,
virusinfo_syscheck.zip - http://exfile.ru/80973
hijackthis.log - http://exfile.ru/80975