[thyrex]

На время выполнения скрипта отключить защитное ПО (анивирус, файрволл). Включите брандмауэр Windows
Отключите автозапуск со сменных носителей

Выполните скрипт в AVZ (запустив AVZ от имени администратора)

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\ProgramData\ldglib.dll','');
 QuarantineFile('C:\ProgramData\crtlib.dll','');
 QuarantineFile('C:\ProgramData\mpnlib.dll','');
 DeleteFile('C:\ProgramData\mpnlib.dll');
 DeleteFile('C:\ProgramData\crtlib.dll');
 DeleteFile('C:\ProgramData\ldglib.dll');
DelBHO('{A449340F-A80D-49BD-A931-45AC4DB33881}');
 DelBHO('{66AA753B-1593-432D-997F-FF965F38D507}');
 DelBHO('{3DD96B8E-968D-41B2-A41D-AD076B077548}');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится

Выполните скрипт в AVZ

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

quarantine.zip из папки AVZ отправьте на thyrex2002@tut.by, указав в теле письма ссылку на тему

Повторите логи

[roteiro]

отправил

[thyrex]

C:\ProgramData\mpnlib.dll - Trojan-Ransom.Win32.HexZone.aio (сработал мой KIS2009)
Больше ничего в карантин не попало

Ждем повторные логи

[roteiro]

в IE стало все норм. теперь при повторном сканировании в AVZ стандарнтный 3 скрипт вываливается после минут 5 проверки в синий экран ошибка вроде 0х00.....7F

[Pili]

roteiro, Если 3-ий скрипт не выполняется, сделайте новые логи virusinfo_syscheck.zip (2-ой стандартный скрипт AVZ) и hijackthis
Что с проблемой?

[roteiro]

Проблема решилась

[Pili]

roteiro, CrackTcpip.sys - сами ставили?
C:\Windows\system32\Drivers\CrackTcpip.sys - Rootkit.Win32.Tiny.ap - http://www.virustotal.com/analisis/b...12795d892470b4
Вы с помощью AVPTool проверяли систему? (в правилах есть) Если не проверялись - рекомендую.
У вас DrWeb, он этот зловред не знает, поэтому можете запаковать с паролем virus и отправить в в вирлаб DrWeb
то же самое с C:\Windows\System32\drivers\royal.sys - http://www.virustotal.com/analisis/8...c8369100ab9f52
C:\Windows\System32\Drivers\stremu.SYS - http://www.virustotal.com/analisis/d...8a03bcb833208b - возможно фолс, требуется проверка в вирлабе
Можете выполнить скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\Windows\System32\Drivers\stremu.SYS','');
 QuarantineFile('C:\Program Files\ArtMoney\artmoney.sys','');
 QuarantineFile('C:\Windows\system32\drivers\ScreamingBAudio.sys','');
 QuarantineFile('C:\Windows\System32\drivers\royal.sys','');
 QuarantineFile('C:\Windows\system32\Drivers\CrackTcpip.sys','');
 BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.

После перезагрузки ещё скрипт

Код:

begin	
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Файл quarantine.zip отправьте в вирлаб DrWeb и дополнительно можете отправить на newvirus@kaspersky.com, ответ сообщите.
artmoney.sys и ScreamingBAudio.sys можете сами проверить на virustatal.com
Можете, после карантина, удалить скриптом или дождаться ответа вирлаба, обновить базы и проверить систему, возможно драйвер tcpip придется вернуть оригинальный (если сами заменяли).

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 StopService('CrackTcpip');
 DeleteFile('C:\Windows\system32\Drivers\CrackTcpip.sys');
 DeleteFile('C:\Windows\System32\drivers\royal.sys');
 DeleteService('OemBiosDevice');
 DeleteService('CrackTcpip');
BC_ImportDeletedList;
ExecuteSysClean;
 BC_DeleteSvc('OemBiosDevice');
 BC_DeleteSvc('CrackTcpip');
BC_Activate;
RebootWindows(true);
end.

Рекомендую обновить Adobe Acrobat. Также иожете пополнить базу чистых файлов AVZ, дождаться рез-та анализа CyberHelper`ом архива, далее обновить базы AVZ и сделать новый лог virusinfo_syscheck.zip, 2-ой стандартный скрипт AVZ
Выложите также результаты проверки архива безопасных, дополнительно см. здесь

[roteiro]

CrackTcpip.sys сам ставил

Результаты обработки
Архив 090407_131218_virusinfo_files_ALEXSANDR_49db18f2a9 365.zip, загружен 07.04.2009 13:30:17, размер 23486698 байт
Всего файлов: 22 (исполняемых 22), из них:
зловреды или опасные объекты: 0
подозрительные: 0
занесены в базу безопасных AVZ: 1
В очереди на добавление в базу безопасных:
высокий приоритет: 11
обычный приоритет: 10

[Pili]

roteiro, сигнатура безопасных вероятно ещё не успела попасть в базу, судя по логам.
C:\Windows\system32\Drivers\stremu.sys
C:\Windows\system32\drivers\ScreamingBAudio.sys
C:\Program Files\ArtMoney\artmoney.sys
Что ответил вирлаб по этим файлам?