[thyrex]

Перед выполнением скрипта отключите все защитное ПО (антивирус, файрвол). Включите брандмауэр Windows

Пофиксить в HiJack

Код:

O2 - BHO: (no name) - autorunsdisabled - (no file)
O20 - Winlogon Notify: __c00F73E1 - C:\WINDOWS\

Выполните скрипт в AVZ

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\program Files\ThunMail\testabd.exe','');
 QuarantineFile('C:\WINDOWS\system32\svcnost.exe,','');
 QuarantineFile('C:\WINDOWS\TEMP\zchMiB.exe','');
RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run-','Java Syncro');
 RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run-','Java Syncro');
 DeleteFile('C:\WINDOWS\system32\svcnost.exe,');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon-','System');
 DeleteFile('c:\program Files\ThunMail\testabd.exe');
 RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','svc');
 RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','svc');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

Выполнить скрипт в AVZ.

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com. Полученный ответ сообщите здесь.

Сделайте новые логи

Выполните дополнительно
Загрузите GMER по одной из указанных ссылок
Gmer со случайным именем (рекомендуется), Gmer в zip-архиве (перед применением распаковать в отдельную папку)
Запустите программу (пользователям Vista запускать от имени Администратора по правой кнопке мыши).
Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No.
После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов:

• Sections
• IAT/EAT
• Show all

Из всех дисков оставьте отмеченным только системный диск (обычно C:\)
Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.
После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.

[roksi]

Письмо от Касперского(newvirus@kaspersky.com)

Hello,

No malicious software was found in the attached file.

>
>
--
Best regards, Sergey Prokudin
Virus analyst, Kaspersky Lab.
e-mail: newvirus@kaspersky.com
http://www.kaspersky.com/

http://www.kaspersky.com/virusscanner - free online virus scanner.
http://www.kaspersky.com/helpdesk.html - technical support.
_________________________________________________________

Лог от GMER.

[Drongo]

roksi, Сохраните текст ниже в файл cleanup.bat, в ту же папку, где находится 5q6jjzbe.exe - случайное имя (gmer)

Код:

5q6jjzbe.exe -del service qfjpnb
5q6jjzbe.exe -del file "C:\WINDOWS\system32\zfyspqu.dll"
5q6jjzbe.exe -del file "C:\WINDOWS\system32\qmgr.dll"
5q6jjzbe.exe -del reg "HKLM\SYSTEM\controlset001\Services\qfjpnb"
5q6jjzbe.exe -del reg "HKLM\SYSTEM\controlset004\Services\qfjpnb"
5q6jjzbe.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\qfjpnb"
5q6jjzbe.exe -del reg "HKLM\SYSTEM\controlset006\Services\qfjpnb"
5q6jjzbe.exe -reboot

И запустите cleanup.bat.
Компьютер перезагрузится!

Сделать новый лог gmer.

[thyrex]

+ к Drongo

Обычные логи тоже новые сделайте

[roksi]

При запуске батника вылетело что толи qfjpnb толи zfyspqu.dll не найден не успел посмотреть.
Ещё комп захотел диск ХР, вроде как системный файл удалился. Комп перезагрузился, делаю новые логи.

[roksi]

Вроде как ничё не нашло, но при попытке включить BITS - кричит Ошибка 5: Отказано в доступе.
В реестре нашёл это:

Код:

Раздел:          HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\BITS 
Название класса:        <Класс отсутствует> 
Последнее время записи:   среда 04.11.2009 - 0:45 Elmar 
Параметр 0   
Название:            StateIndex   
Тип:            REG_DWORD   
Значение:            0x1  
Параметр 1   
Название:            ServiceDLL   
Тип:            REG_SZ   
Значение:            C:\WINDOWS\system32\BITS\qmgr.dll

5q6jjzbe.exe -del file "C:\WINDOWS\system32\qmgr.dll" удалялся с папки system32
а в реестре он ещё и в папке system32\BITS (хотя папки BITS в system32 нету)


Логи (AVZ, HijackThis, gmer)

[iskander-k]

Попробуйте зайти на сайт обновления и загрузить по новой службу BITS (Обновление для фоновой интеллектуальной службы передачи )
Методы устранения неполадок со службой BITS - http://support.microsoft.com/kb/842309/ru

или

Вставьте диск с дистрибутивом windows в dvd-привод, выполните: пуск->выполнить-> наберите в строке sfc /scannow дождитесь окончания проверки и перезагрузите компьютер.

Вам также необходимо обновить вашу Windows XP SP2 до SP3 . Загрузив сервис пак SP3 с центра загрузки Майкрософт . Сервис-пак SP3

можно загрузить и образ диска с SP3

[roksi]

Цитата iskander-k:

Вставьте диск с дистрибутивом windows в dvd-привод, выполните: пуск->выполнить-> наберите в строке sfc /scannow дождитесь окончания проверки и перезагрузите компьютер »

Я изменил пуск - выполнить, на новый, тот что с заметкой. При проверке системных файлов изменится он?
Ибо можно их диска разархивировать только файлы которые нужны для BITS?

[iskander-k]

Можете найти нужные файлы на аналогичной системе СП2 и скопировать к себе.

Цитата roksi:

Ибо можно их диска разархивировать только файлы которые нужны для BITS »

Насколько я помню - когда обновлял систему через апдейт(о-о-очень давно) то сначала обновлялась BITS . Через веб - апдейт