[Drongo]

qwerty19, Есть возможность выполнить рекомендации и прикрепить к следующему сообщению полученные логи?

Попробуйте скачать утилиту CureIT, запустить её в защищённом режиме и из безопасного режима. Получится?

[qwerty19]

Проверка в безопасном режиме показывает файл C:\WINDOWS\system32\drivers\vvtym.sys Но ни лечение, ни удаление его не возможно.
Файлы прикреплены

[Alex1983]

Загрузите GMER по одной из указанных ссылок
Gmer со случайным именем (рекомендуется), Gmer в zip-архиве (перед применением распаковать в отдельную папку)
Запустите программу (пользователям Vista запускать от имени Администратора по правой кнопке мыши).
Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No.
После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов:

• Sections
• IAT/EAT
• Show all

Из всех дисков оставьте отмеченным только системный диск (обычно C:\)
Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.
После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.

[qwerty19]

При запуске GMER вылетает синий экран с ошибкой 0х00000019.

[Alex1983]

Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 SetServiceStart('3633943186', 4);
 QuarantineFile('C:\WINDOWS\system32\Drivers\vvtym.sys','');
 QuarantineFile('C:\WINDOWS\system32\drivers\aec.sys','');
 QuarantineFile('C:\WINDOWS\system32\K4hostElSvc.exe','');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

после перезагрузки выполнить второй скрипт AVZ:

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин quarantine.zip. Отправьте полученный файл quarantine.zip из папки AVZ через Данную форму.

Отчет ЛК пришлите в следующем сообщение.

ip адреса вам знакомы?

Код:

10.10.0.100,10.10.0.20

Если нет то профиксите эту строку в HiJackThis Как профиксить HiJackThis.

Код:

O17 - HKLM\System\CCS\Services\Tcpip\..\{C98C645A-43FD-4E32-875E-AF2D2A1FA31C}: NameServer = 10.10.0.100,10.10.0.20

Повторите логи.
AVZ
RSIT
+
Лог Gmer
Загрузите GMER по одной из указанных ссылок
Gmer со случайным именем (рекомендуется), Gmer в zip-архиве (перед применением распаковать в отдельную папку)
Запустите программу (пользователям Vista запускать от имени Администратора по правой кнопке мыши).
Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No.
После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов:

• Sections
• IAT/EAT
• Show all

Из всех дисков оставьте отмеченным только системный диск (обычно C:\)
Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.
После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.

Рекомендация:
Обновите Internet Explorer 7. до версии Internet Explorer 8.. Даже если вы им не пользуетесь.

[iskander-k]

Цитата qwerty19:

При запуске GMER вылетает синий экран с ошибкой 0х00000019. »

Удалите программы виртуальных приводов (Daemon)и снова запустите гмер.

[qwerty19]

Цитата:

Удалите программы виртуальных приводов (Daemon)и снова запустите гмер.

Удаление не помогло, та же ошибка при запуске

[Alex1983]

qwerty19,
Выполните пост №6.

[Drongo]

qwerty19, Выполните такой лог

• Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Как использовать ComboFix - how-to-use-combofix
Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe