[Pili]

dodd, Здравствуйте. Предварительно, для предотвращения заражения в ходе лечения, отключите автозапуск со съемных носителей, включите брандмауэр windows

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
 QuarantineFile('c:\windows\system32\system.exe','');
 QuarantineFile('C:\WINDOWS\system32\a.exe','');
 QuarantineFile('C:\WINDOWS\Temp\startdrv.exe','');
 QuarantineFile('C:\WINDOWS\system32\drivers\sysdrv32.sys','');
 QuarantineFile('c:\windows\system32\a.exe','');
 DeleteFile('c:\windows\system32\a.exe');
 DeleteFile('C:\WINDOWS\system32\drivers\sysdrv32.sys');
 DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
 DeleteFile('C:\WINDOWS\system32\a.exe');
 DeleteFile('c:\windows\system32\system.exe');
 DelCLSID('DB1787F6-A4FC-827A-CF44-3A287BAB3BB8');
 DeleteFileMask('%Tmp%', '*.*', true);
 DeleteService('sysdrv32');
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
BC_ImportDeletedList;
ExecuteSysClean;
 BC_DeleteSvc('sysdrv32');
BC_Activate;
ExecuteWizard('TSW', 1, 1, true);
ExecuteWizard('BT', 1, 1, true);
RebootWindows(true);
end.

Компьютер перезагрузится. После перезагрузки выполнить ещё скрипт
Файл quarantine.zip отправьте на user15802[at]mail.ru, в письме укажите ссылку на тему.
Запустите HiJackThis, нажмите кнопку "Do a system scan only", в открывшемся окне поставьте галочки напротив указанных строк и нажмите кнопку "Fix Checked".

Код:

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\system.exe
O9 - Extra button: Price.ru - {07FB4AFD-AFD1-4DB2-BA05-C025073924DC} - http://www.price.ru (file missing) (HKCU)
O9 - Extra button: Triline - {271EF184-A837-48BC-83D1-E42CBE9B0000} - http://www.triline.ru (file missing) (HKCU)
O9 - Extra button: E1.ru - {8F0A332E-2E8C-4E5F-B246-2A3F67652B78} - http://www.e1.ru (file missing) (HKCU)
O9 - Extra button: ELL.ru - {DC4F4487-5025-47A9-BF71-2BEC346E7535} - http://www.ell.ru (file missing) (HKCU)

Создайте новую контрольную точку восстановления и очистите предыдущие.
Очистите временные файлы с помощью ATF Cleaner
Повторите логи.

[dodd]

файл карантин отправил
f2 не нашел в списке - его там не было
09 - 4 штуки пофиксил
точку восст. создал

но теперь jusched.exe меня начал беспокоить - обнаружена ошибка пишет
как быть?

[Pili]

dodd, Java вообще скриптом не трогалось ) Деинсталлируйте старые версии java, скачайте JavaRA здесь или здесь
Распакуйте, запустите, выберите "Remove Older Versions",
Далее нажмите "Search For Updates", выберите "Update Using Sun Java's Website" и "Open Webpage"
Альтернативный вариант - после удаления старой версии скачайте и установите последнюю версию Java Runtime Environment (JRE) с сайта производителя.
Adobe Acrobat тоже обновите
Карантин пришел пустой.

[thyrex]

Хм, это вроде от обновлялки Java
Повторные логи все же сделайте

[dodd]

яву обновил
акробат обновил
карантин также создается пустым
лог hijacka прикрепил сюда

[Pili]

Цитата dodd:

карантин также создается пустым »

Антивирус был выключен на веремя скрипта?
Сделайте остальные логи

[dodd]

антивирус выключал но nod32krn.exe все равно сам собой запускается в процессах
логи высылаю

[Pili]

Впечатление - как будто скрипт не выполняли, или лог virusinfo_syscure.zip выложили старый.

Цитата Pili:

включите брандмауэр windows »

Это сделали? Если нет, лечение будет бессмысленным. Включите брандмауэр windows и уберите в исключениях брандмауэра общий доступ к файлам и принтерам.
Повторите скрипт из поста 3, после перезагрузки поменяйте время через биос, удалите предыдущие точки восстановления и создайте новую.

Цитата Pili:

Очистите временные файлы с помощью ATF Cleaner »

Скачайте Malwarebytes' Anti-Malware здесь, здесь, здесь или здесь. Установите, обновите базы, выберите Perform Full Scan (Провести полную проверку), нажмите Scan (Проверить), после сканирования выберите Ок и далее Show Results (Показать результаты), нажмите "Remove Selected" (удалить выделенные, внимание - проверьте то, что удаляете). После удаления откройте лог и скопируйте в сообщение. Логи сканирования можно посмотреть во вкладке Logs (Отчеты), выбрав отчет и нажав кнопку Open (Открыть).

Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.
Обязательно закройте все программы, отключите все антивирусное и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет, не переподключайте интернет пока Combofix не завершит работу.
Запустите combofix.exe, когда процесс завершится запакуйте C:\ComboFix.txt
Сделайте новые логи virusinfo_syscheck.zip (2-ой стандартный скрипт AVZ) и hijackthis

[dodd]

брендмауер включил раньше как и говорили
общий доступ к принтерам тоже убран изначально
какой скрипт повторить - так и не понял
Malwarebytes' Anti-Malware сейчас проверяю - скорее всего надолго
кстати после включения брендмауреа - сразу пришли сообщения об обновлении windows - я их ставить не решился