[zirreX]

Добрый день!

C:\1.bat - ваш файл?

Отключите восстановление системы!
Пуск > Пpогpаммы > Стандаpтные > Пpоводник Windows. (Start > Programs > Accessories > Windows Explorer)
Кликнуть пpавой кнопкой мыши на "Мой компьютеp" (My Computer). Выбpать "Свойства" (Properties).
Вкладка "Восстановление системы" (System Restore). Поставить птичку на "Запpетить восстановление системных файлов на всех дисках" (Turn off System Restore on all drives)
Hажать "Пpименить" (Apply). Появится сообщение, пpедупpеждающее об удалении всех точек восстановления. Подтвеpдить, нажав "ОК".

• Выполните скрипт AVZ
Перед выполнением скрипта отключите защитное ПО (антивирус, файрволл)

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
ClearQuarantine;
QuarantineFile('C:\Documents and Settings\Марина\Local Settings\Temp\7726073.exe','');
QuarantineFile('ICF.sys','');
QuarantineFile('C:\System Volume Information\_restore{8EF6D43E-6FF3-4433-BD6D-E682E6891FC4}\RP229\A0155219.exe:exe.exe:$DATA','');
DeleteFile('C:\System Volume Information\_restore{8EF6D43E-6FF3-4433-BD6D-E682E6891FC4}\RP229\A0155219.exe:exe.exe:$DATA');
DeleteFile('ICF.sys');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('ICF');
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится!

После перезагрузки выполните такой скрипт

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин. Отправьте c:\quarantine.zip на адрес quarantine@virusnet.info, в названии темы укажите – Ссылку на вашу тему.Результаты ответа сообщите здесь, в теме.

Повторите логи AVZ (обязательно обновите базы) и RSIT!

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.


Microsoft остановил поддержку и выпуск обновлений безопасности для ОС Windows XP без установленного SP3.
Установите Service Pack 3 (может потребоваться активация!).

Перед установкой Сервис Пака необходимо выгрузить антивирус, файрвол!

[sonya]

Вот пока что. mbam выложу в скором времени. Спустя 8 минут 19 инфицированных) Думаю, будут и еще.

Цитата Fedin:

Microsoft остановил поддержку и выпуск обновлений безопасности для ОС Windows XP без установленного SP3. Установите Service Pack 3 (может потребоваться активация!). »

Активация винды? Если да - то с этим могут возникнуть проблемы..

Цитата Fedin:

Результаты ответа сообщите здесь, в теме.

Очень сомневаюсь, что результаты придут вообще. Еще ни разу не приходили.

[zirreX]

Здравствуйте!

D:\флеха\test\xyz.pif
G:\test\xyz.pif
Это у вас avz?

Жду лог MBAM

[sonya]

Это от cureit-scan вроде.

Цитата Fedin:

Жду лог MBAM »

Сейчас сейчас еще чуть-чуть тут)

[sonya]

Вооот)

[zirreX]

Удалите всё кроме:

Объекты реестра заражены:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowSearch (Hijack.StartMenu) -> Bad: (0) Good: (1) -> No action taken.

Зараженные файлы:
C:\WINDOWS\system32\inetsrv\iissync.exe (Virus.Expiro) -> No action taken (ложное срабатывание)

Есть еще проблемы?

[sonya]

Fedin, а Вы не можете сказать, почему у меня инет не работает? Пишет, что локальное соединение установлено, айпи и прочие данные получены, но локальные ресурсы интернета недоступны. Глобальное соединение не устанавливается вовсе. Интернет провайдер утверждает, что "Не удалось создать VPN-подключение. VPN-сервер недоступен, или параметры безопасности для данного подключения настроены неверно." Все проверила, вроде идентично. Создала подключение заново. Не помогает. Это началось после последней чистки ноутбука от autorun.inf.

[zirreX]

Проверьте файл на www.virustotal.com

Код:

C:\WINDOWS\Installer\2c0a1a.msi

Дайте ссылку с результатом проверки файла!

• Выполните скрипт AVZ
Перед выполнением скрипта отключите защитное ПО (антивирус, файрволл)

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\Documents and Settings\Марина\Local Settings\Temp\7726073.exe','');
DeleteFile('C:\Documents and Settings\Марина\Local Settings\Temp\7726073.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list','C:\Documents and Settings\Марина\Local Settings\Temp\7726073.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится!

После перезагрузки выполните такой скрипт

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин.Отправьте c:\quarantine.zip при помощи этой формы

Повторите лог RSIT

[sonya]

Цитата Fedin:

C:\WINDOWS\Installer\2c0a1a.msi »

Как обычно не могу найти этого гада.