[thyrex]

Сделайте логи таким AVZ

Скачайте RSIT или отсюда. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

[Инь]

Логи avz и rsit сделаны

[thyrex]

Пофиксите в HiJack

Код:

R3 - URLSearchHook: (no name) -  - (no file)
F2 - REG:system.ini: Shell=explorer.exe rundll32.exe
F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,\\?\globalroot\systemroot\system32\kkbd3z9.exe,\\?\globalroot\systemroot\system32\ZoLhNW5.exe,\\?\globalroot\systemroot\system32\FF9IxT6.exe,

Выполните скрипт в AVZ

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\ZoLhNW5.exe','');
QuarantineFile('C:\WINDOWS\system32\FF9IxT6.exe','');
QuarantineFile('C:\WINDOWS\system32\Nmnr0F6.exe','');
QuarantineFile('C:\WINDOWS\system32\3zBj0ei.exe','');
QuarantineFile('C:\WINDOWS\system32\5An5YKg.exe','');
QuarantineFile('C:\WINDOWS\system32\kgzlOaf.exe','');
QuarantineFile('C:\WINDOWS\system32\L3u2HIo.exe','');
QuarantineFile('C:\WINDOWS\system32\WansMCy.exe','');
QuarantineFile('C:\WINDOWS\system32\uAXhySL.exe','');
QuarantineFile('C:\WINDOWS\system32\KFXEplx.exe','');
QuarantineFile('C:\WINDOWS\system32\1Mjmf14.exe','');
QuarantineFile('C:\WINDOWS\system32\yCrzL6C.exe','');
QuarantineFile('C:\WINDOWS\system32\U04xfac.exe','');
QuarantineFile('C:\WINDOWS\system32\EXKsX5P.exe','');
QuarantineFile('C:\WINDOWS\system32\kGtweNv.exe','');
QuarantineFile('C:\WINDOWS\system32\VbzXaCd.exe','');
QuarantineFile('C:\WINDOWS\system32\yitQy78.exe','');
QuarantineFile('C:\WINDOWS\system32\IcGjd2H.exe','');
QuarantineFile('C:\WINDOWS\system32\IlJ9usR.exe','');
QuarantineFile('\\?\globalroot\systemroot\system32\kkbd3z9.exe','');
 QuarantineFile('\\?\globalroot\systemroot\system32\ZoLhNW5.exe','');
 QuarantineFile('\\?\globalroot\systemroot\system32\FF9IxT6.exe','');
 DeleteFile('\\?\globalroot\systemroot\system32\FF9IxT6.exe');
 DeleteFile('\\?\globalroot\systemroot\system32\ZoLhNW5.exe');
 DeleteFile('\\?\globalroot\systemroot\system32\kkbd3z9.exe');
 DeleteFile('C:\WINDOWS\system32\IlJ9usR.exe');
 DeleteFile('C:\WINDOWS\system32\IcGjd2H.exe');
 DeleteFile('C:\WINDOWS\system32\yitQy78.exe');
 DeleteFile('C:\WINDOWS\system32\VbzXaCd.exe');
 DeleteFile('C:\WINDOWS\system32\kGtweNv.exe');
 DeleteFile('C:\WINDOWS\system32\EXKsX5P.exe');
 DeleteFile('C:\WINDOWS\system32\U04xfac.exe');
 DeleteFile('C:\WINDOWS\system32\yCrzL6C.exe');
 DeleteFile('C:\WINDOWS\system32\1Mjmf14.exe');
 DeleteFile('C:\WINDOWS\system32\KFXEplx.exe');
 DeleteFile('C:\WINDOWS\system32\uAXhySL.exe');
 DeleteFile('C:\WINDOWS\system32\WansMCy.exe');
 DeleteFile('C:\WINDOWS\system32\L3u2HIo.exe');
 DeleteFile('C:\WINDOWS\system32\kgzlOaf.exe');
 DeleteFile('C:\WINDOWS\system32\5An5YKg.exe');
 DeleteFile('C:\WINDOWS\system32\3zBj0ei.exe');
 DeleteFile('C:\WINDOWS\system32\Nmnr0F6.exe');
 DeleteFile('C:\WINDOWS\system32\FF9IxT6.exe');
 DeleteFile('C:\WINDOWS\system32\ZoLhNW5.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(16);
ExecuteRepair(19);
ExecuteRepair(20);
RebootWindows(true);
end.

Компьютер перезагрузится.

Выполните скрипт в AVZ

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

quarantine.zip из папки AVZ отправьте через форму http://support.kaspersky.ru/virlab/helpdesk.html. В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus"(без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Полученный ответ сообщите здесь.

Сделайте новые логи AVZ и RSIT

[Инь]

Логи azv и rsit сделаны, с лабораторией каперского возникла проблема - максимальный размера файла отправки 1.5 мб, мой же quarantine весит 1.8 и отправлению поддаваться не желает.

[thyrex]

Отправьте на newvirus@tut.by с указанной ссылкой на тему

Проблема решилась?

Пофиксите в HiJack

Код:

O16 - DPF: {33331111-1111-1111-1111-611111193423} - 
O16 - DPF: {33331111-1111-1111-1111-615111193427} -

[Инь]

Фикс проведен, сайты разблокированы - ошибка сервис.ехе с первого раза непоявлялась, надеюсь пропала сконцами +)

Спасибо большое за помощь.

p.s. файл отправлен +)

[thyrex]

Установите SP3 (может потребоваться активация) + все новые патчи