[sanek_freeman]

MiniMen, здравствуйте.

• Скрипт AVZ.
Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('\systemroot\system32\drivers\aliserv3.sys','');
 QuarantineFile('C:\WINDOWS\Temp\wpv371253309382.exe','');
 QuarantineFile('C:\WINDOWS\system32\drivers\win32x.sys','');
 QuarantineFile('C:\Documents and Settings\Катя\sys32_nov.exe','');
 QuarantineFile('C:\WINDOWS\system32\01.tmp','');
 QuarantineFile('C:\WINDOWS\system32\sys32_nov.exe','');
 QuarantineFile('C:\WINDOWS\system32\regedit.exe','');
 DeleteFile('C:\WINDOWS\system32\sys32_nov.exe');
 DeleteFile('C:\WINDOWS\system32\regedit.exe');
 DeleteFile('C:\WINDOWS\system32\01.tmp');
 DeleteFile('C:\Documents and Settings\Катя\sys32_nov.exe');
 DeleteFile('C:\WINDOWS\system32\drivers\win32x.sys');
 DeleteFile('C:\WINDOWS\Temp\wpv371253309382.exe');
 DeleteFile('\systemroot\system32\drivers\aliserv3.sys');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','sys32_nov');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','sys32_nov');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Regedit32');
 DeleteService('win32x');
 DeleteService('iyhan');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После всех процедур выполните скрипт

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин quarantine.zip Вышлите полученный файл quarantine.zip на newvirus@kaspersky.com. Результаты ответа, сообщите здесь, в теме.

[MiniMen]

Большое спасибо за ответ! Выполнил скрипт. В папке карантин два файлика avz00001.dta(пустой) и avz00001.ini:

[InfectedFile]
Src=C:\WINDOWS\system32\drivers\aliserv3.sys
Infected=avz00001.dta
Virus=Скопирован МП
QDate=07.02.2010 21:00:30
Size=0
MD5=

Собственно посылать в лабораторию нечего, вирусы были удалены раньше

[Drongo]

Цитата MiniMen:

aliserv3.sys »

Это вирус класса TDSS, выполните лог gmer

Загрузите GMER по одной из указанных ссылок
Gmer со случайным именем (рекомендуется), Gmer в zip-архиве (перед применением распаковать в отдельную папку)
Запустите программу (пользователям Vista запускать от имени Администратора по правой кнопке мыши).
Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No.
После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов:

• Sections
• IAT/EAT
• Show all

Из всех дисков оставьте отмеченным только системный диск (обычно C:\)
Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.
После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.

[MiniMen]

Drongo, спасибо за проявленный интерес! Лог прикрепил

[okshef]

Сохраните приведённый ниже текст в файл cleanup.bat в ту же папку, где находится wuitvlbn.exe случайное имя утилиты (gmer)

Код:

wuitvlbn.exe -del service gndnk
wuitvlbn.exe -del file "C:\WINDOWS\system32\uudokwrt.dll"
wuitvlbn.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\gndnk"
wuitvlbn.exe -del reg "HKLM\SYSTEM\ControlSet005\Services\gndnk"
wuitvlbn.exe -del reg "HKLM\SYSTEM\ControlSet004\Services\gndnk"
wuitvlbn.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\gndnk"
wuitvlbn.exe -del reg "HKLM\SYSTEM\ControlSet001\Services\gndnk"
wuitvlbn.exe -reboot

И запустите сохранённый пакетный файл cleanup.bat.
Внимание: Компьютер перезагрузится!
Сделайте новый лог gmer.

[MiniMen]

okshef, возникли ошибки во время выполнения пакетного файла, но компьютер перезагрузился. Повторное сканирование запустил

[iskander-k]

Новые логи сделайте.

[MiniMen]

Загрузил новый лог

[Drongo]

MiniMen, В новых логах чисто. Что с проблемой?