Windows2000, Trojan.MulDrop.54140 поможете вылечить?

Sandor · Отправлено: **12:52, 16-04-2013** | #2

Не тот лог AVZ. Нужны virusinfo_syscure.zip и virusinfo_syscheck.zip из папки LOG. А HijackThis у вас тоже не запускается?

aka AMIGO · Отправлено: **13:06, 16-04-2013** | #3

Друже, этих файлов в компе я не нашел.. их нет, как, впрочем и папки LOG, с хотя-бы малым намеком на принадлежность AVZ..

Цитата Sandor:

virusinfo_syscure.zip и virusinfo_syscheck.zip »

Может быть, потому, что AVZ не посчитал их вирусом? (неумное, конечно, предположение...)

А HijackThis, как и оставшиеся упомянутые в Инструкции, тоже не запускается, сообщает, что не является приложением win32

Запустил еще раз AVZ4, лог отличается, есть две строки:
7. Эвристичеcкая проверка системы
>>> I:\autorun.inf ЭПС: подозрение на скрытый автозапуск (высокая степень вероятности)
Файл успешно помещен в карантин (I:\autorun.inf)
>>> I:\lrgjpwkq.bat ЭПС: подозрение на скрытый автозапуск I:\autorun.inf [Autorun\Open]
Файл успешно помещен в карантин (I:\lrgjpwkq.bat)
Обнаружен вызов интерпретатора командной строки в автозапуске [DR=1] HKLM\Software\Microsoft\Windows\CurrentVersion\Run\HotKeysCmds = [C:\WINNT\system32\hkcmd.exe]
Проверка завершена

На второй файл (I:\lrgjpwkq.bat) как раз и ругается Cureit!..

Sandor · Отправлено: **13:58, 16-04-2013** | #4

Задам наивный вопрос: вы AVZ распаковали или запускали из архива? Если распаковали, то в (распакованной) папке, например AVZ4, должна после выполнения стандартного скрипта появиться подпапка LOG.

aka AMIGO · Отправлено: **14:03, 16-04-2013** | #5

Цитата Sandor:

Задам наивный вопрос: »

развернул

http://img-fotki.yandex.ru/get/5626/..._-1-XL.bmp.jpg

SolarSpark · Отправлено: **14:03, 16-04-2013** | #6

Цитата aka AMIGO:

запустилась из всех обязательных только одна: AVZ4.. »

а вы как ее запускали? Остальные утилиты пробуйте в безопасном режиме запустить
Запустите AVZ, выберите в меню "Файл"=>"Стандартные скрипты" и поставьте галочку напротив скрипта №3. Нажмите "Выполнить отмеченные скрипты". Будет выполнено автоматическое сканирование, лечение и исследование системы, полученный лог avz_sysinfo.htm будет сохранен в директории AVZ в папке "LOG" в архиве virusinfo_syscure.zip.

если прям совсем неудача, давайте лог такой

Скачайте Universal Virus Sniffer (uVS)
Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
!!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив иначе это будет необходимо сделать вам вручную.
Дождитесь окончания работы программы и прикрепите лог к посту в теме.
!!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".
Подробнее читайте в руководстве Как подготовить лог UVS

Sandor · Отправлено: **14:04, 16-04-2013** | #7

Запускали от имени Администратора?

aka AMIGO · Отправлено: **14:19, 16-04-2013** | #8

Цитата Sandor:

от имени Администратора? »

Да, я локальный админ (только для своего компа).
SolarSpark,
Йес, файлики появились, лечение произведено, но оно странное: файл *.bat помещен в карантин, но видимо, вирус тут-же создает новый такой-же.. После AVZ запустил cureit, те-же файлы, на том-же месте.. и так-же не удаляются.
и что это за директория "I:\ .." где батник находится?

с другой стороны, не батник надо удалять, а само тело трояна.. (

ЗЫ. сообразил, как htm присоединить: http://yadi.sk/d/GDN4ztq145c3O

Sandor · Отправлено: **14:55, 16-04-2013** | #9

Цитата SolarSpark:

Остальные утилиты пробуйте в безопасном режиме запустить »

Пробовали?

aka AMIGO · Отправлено: **15:01, 16-04-2013** | #10

Цитата Sandor:

Пробовали? »

Да не запускаются они, друже.. сообщение для всех одно: не является приложением win32..
ОС древняя.. и ничего поделать не могу.

ЗЫ. кстати, нашел, где эти bat-файлы лежат: на серверном диске с буквой "I:"
http://img-fotki.yandex.ru/get/4138/...89f_XL.bmp.jpg
кто их туда положил - не знаю, может сисадмины.. но у них не спросишь, сердитые сидят

и я не понимаю, каким образом с серверного диска может что-то стартовать?..

ЗЗЫ. Всё-таки поговорил с сисадминами, сказали вирус и принялись лечить.. Я успокоился, вина не моя..

Спасибо, уважаемые форумчане, за внимание и помощь! Успехов вам!