[Drongo]

lynxxx, Приветствую.

1. Скрипт AVZ.

Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 SetServiceStart('presb', 4);
 StopService('presb');
 SetServiceStart('dllview Controler', 4);
 StopService('dllview Controler');
 QuarantineFile('C:\WINDOWS\system32\01.tmp','');
 QuarantineFile('C:\WINDOWS\system32\csrcs.exe','');
 QuarantineFile('C:\WINDOWS\system32\drivers\dllview.exe','');
 DeleteFile('C:\WINDOWS\system32\drivers\dllview.exe');
 DeleteFile('C:\WINDOWS\system32\csrcs.exe');
 DeleteFile('C:\WINDOWS\system32\01.tmp');
BC_ImportALL;
ExecuteSysClean;
 BC_DeleteSvc('dllview Controler');
 BC_DeleteSvc('presb');
BC_Activate;
RebootWindows(true);
end.

После всех процедур выполните скрипт

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Карантин вышлите на http://www.virustotal.com/ru/ результат опубликуйте в виде ссылок.

2. Лог HiJackThis

Нужно пофиксить эти строки в HiJackThis. Выставив галочки напротив этих пунктов и нажмите кнопку Fix Checked.

Код:

O4 - HKLM\..\Policies\Explorer\Run: [csrcs] C:\WINDOWS\system32\csrcs.exe

[thyrex]

Карантин из предыдущего поста отправьте еще на newvirus@kaspersky.com, указав в письме пароль на архив - virus

После выполнения рекомендаций из предыдущего поста не забудьте сделать повторные логи. В AVZ включите AVZPM (выбрать первую строчку в соответствующем меню программы).

Скачайте Gmer, запустите программу. После автоматической экспресс-проверки, отметьте галочкой системный диск и нажмите на кнопку "Scan". После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение. Если не будет запускаться, попробуйте переименовать gmer.exe, например, в game.exe

[lynxxx]

при попытке выполнить скрипт в AVZ возникла ошибка

Цитата:

O4 - HKLM\..\Policies\Explorer\Run: [csrcs] C:\WINDOWS\system32\csrcs.exe

такого там нет

[Drongo]

lynxxx, Эту строчку нужно фиксить в HiJackThis

Код:

O4 - HKLM\..\Policies\Explorer\Run: [csrcs] C:\WINDOWS\system32\csrcs.exe

Запустите HiJackThis нажмите кнопку Do a system scan only - найдите после сканирования эту строку, поставьте галочку и нажмите кнопку внизу Fix Checked.

[lynxxx]

профиксил в HiJackThis

[Drongo]

lynxxx, Нет, с тех пунктов что у вас на скриншоте снимите, а поставьте здесь.




И перевыполните скрипт для AVZ из комментария 2

[lynxxx]

скрипт выполнил в avz, файл отправил на указанный адрес, вот лог gmer

[Pili]

lynxxx, У вас червь kido, ознакомьтесь с инструкцией, не забудьте отключить автозапуск со съемных носителей, включить брандмауэр windows уберите общий доступ к файлам и принтерам в исключениях брандмауэра, установите обновления
MS08-067 (http://www.microsoft.com/technet/sec.../ms08-067.mspx)
MS08-068 (http://www.microsoft.com/technet/sec.../ms08-068.mspx)
MS09-001 (http://www.microsoft.com/technet/sec.../ms09-001.mspx)
И всё, что предложит http://windowsupdate.microsoft.com
Сохраните текст ниже как cleanup.bat в ту же папку, где находится gmer.exe

Код:

gmer.exe -del service cbwlmobk
gmer.exe -del service fpmfu
gmer.exe -del service hyfdllyj
gmer.exe -del service msiscqo
gmer.exe -del service vjwhhuua
gmer.exe -del file "C:\WINDOWS\system32\dtfoj.dll"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\cbwlmobk"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\fpmfu"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\hyfdllyj"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\msiscqo"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\vjwhhuua"
gmer -reboot

И запустите cleanup.bat
Сделайте новые логи AVZ, HijackThis и gmer

[lynxxx]

Цитата:

не забудьте отключить автозапуск

уже использовал Flash_Disinfector, надо ли ещё что-то делать с автозапуском?
Брандмауэр не активен:

читать дальше »

при сканировании gmerом:

читать дальше »

Выполнил все рекомендации, логи прилагаю.