[iskander-k]

1. Отключите интернет и локальную сеть если таковая имеется.
2. Очистите временные файлы.
   Очистите временные файлы через Пуск - Программы - Стандартные - Служебные - Очистка диска или с помощью ATF Cleaner.
   • Скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
   • Если вы используете Firefox, нажмите Firefox - Select All - Empty Selected.
   • Нажмите No, если вы хотите оставить ваши сохраненные пароли.
   • Если вы используете Opera, нажмите Opera - Select All - Empty Selected.
   • Нажмите No, если вы хотите оставить ваши сохраненные пароли.
3. Восстановление системы. Создание новой контрольной точки восстановления и очистка предыдущих.
   • Создание новой точки восстановления: Нажмите Пуск > Программы > Стандартные > Служебные > Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать.
   • Очистка всех предыдущих точек восстановления: Нажмите Пуск > Программы > Стандартные > Служебные > Очистка диска, выберите системный диск, на вкладке Дополнительно > Восстановление системы нажмите Очистить, нажмите Да для очистки всех точек восстановления, кроме последней.

* Подробнее можно прочитать в этой теме.



• Скрипт AVZ.
Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\syschk32.exe','');
 DeleteFile('C:\WINDOWS\system32\syschk32.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(19);
RebootWindows(true);
end.

После всех процедур выполните скрипт

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин quarantine.zip Вышлите полученный файл quarantine.zip на newvirus@kaspersky.com. Результаты ответа, сообщите здесь, в теме.

Эти адреса вам знакомы ?

Код:

 193.27.209.209 
172.27.0.1,193.27.208.1

• Скачайте Malwarebytes Anti-Malware, установите, обновите базы, выберите Perform Full Scan, нажмите Scan, после сканирования - Ok - Show Results (показать результаты) - нажмите Remove Selected (удалить выделенные). Откройте лог и скопируйте в сообщение.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

Перед удалением найденного имейте ввиду , что МБАМ может удалить креки. Всё что удаляет МБАМ можно восстановить.
Делаем новые логи.

[NukeReACTOR]

Malwarebytes' Anti-Malware 1.41
Версия базы данных: 3185
Windows 5.1.2600 Service Pack 3

17.11.2009 14:56:02
mbam-log-2009-11-17 (14-55-59).txt

Тип проверки: Полная (C:\|D:\|E:\|F:\|)
Проверено объектов: 367199
Прошло времени: 1 hour(s), 1 minute(s), 27 second(s)

Заражено процессов в памяти: 0
Заражено модулей в памяти: 0
Заражено ключей реестра: 0
Заражено значений реестра: 0
Заражено параметров реестра: 0
Заражено папок: 0
Заражено файлов: 8

Заражено процессов в памяти:
(Вредоносные программы не обнаружены)

Заражено модулей в памяти:
(Вредоносные программы не обнаружены)

Заражено ключей реестра:
(Вредоносные программы не обнаружены)

Заражено значений реестра:
(Вредоносные программы не обнаружены)

Заражено параметров реестра:
(Вредоносные программы не обнаружены)

Заражено папок:
(Вредоносные программы не обнаружены)

Заражено файлов:
C:\Documents and Settings\X-aDm1n\Рабочий стол\avz4\Quarantine\2009-11-17\avz00001.dta (Trojan.FakeAlert) -> Not selected for removal.
C:\System Volume Information\_restore{DDD8D40C-DB0D-40E2-B44E-7F2A1977C396}\RP2\A0000003.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\el32.dll (Trojan.FakeAlert) -> Quarantined and deleted successfully.
D:\GAMES\COUNTER-STRIKE\OTHER\PATCHES\cs16patch_full_v28_(3382)\Steam.dll (Trojan.KillAV) -> Not selected for removal.
D:\SOFT\MULTIMEDIA\CONVERTERS\Xilisoft.OGG.MP3.Converter\keygen.exe (Trojan.Downloader) -> Not selected for removal.
D:\SOFT\SYSTEM\ARCHIVATORS\WinRaR\Keygen.exe (Trojan.Dropper) -> Not selected for removal.
D:\SOFT\SYSTEM\DISCS TOOLS\PerfectDisk\Raxco PerfectDisk 10.00 Build 119\keygen.exe (Trojan.Agent) -> Not selected for removal.
E:\Crysis.Special.Edition.RU.CLONEDVD-BLACKSCENE\Keygen.exe (Backdoor.Graybird) -> Not selected for removal.

[iskander-k]

Что с проблемой ?
И новые логи АВЗ с Нijackthis сделайте.

[NukeReACTOR]

Баннер пропал,большое спасибо!

Цитата iskander-k:

Эти адреса вам знакомы ? Код: 193.27.209.209 172.27.0.1,193.27.208.1 »

Да, знакомы.Это локальные сервера.

Пробовал установить KIS 2010... В конце установки происходит откат и получаю ""Работа мастера установки прервана из-за возникновения неустранимой ошибки"

Также не выходить сделать SFC /SCANNOW , пишет "Защита файлов Windows не смогла запустить сканирование защищенных системных файл
ов.

Код ошибки: 0x000006ba [Сервер RPC недоступен.
]. "

[NukeReACTOR]

Утром отослал полученный файл quarantine.zip на newvirus@kaspersky.com . Пока нет ответа...

[iskander-k]

Цитата NukeReACTOR:

Да, знакомы.Это локальные сервера. »

Значит фиксить не надо. Фикс убрал.

Цитата NukeReACTOR:

Также не выходить сделать SFC /SCANNOW »

А вы как запускаете эту команду ?
Её надо запускать - RUN (Выполнить)-cmd-sfc/scannow

[NukeReACTOR]

Цитата iskander-k:

Её надо запускать - RUN (Выполнить)-cmd-sfc/scannow »

так и делаю, службы Удаленный вызов процедур (RPC) и Запуск серверных процессов DCOM работают, файлы sfc_os.dll и sfcfiles.dll в папке WINDOWS\system32 есть...

[thyrex]

Выполните скрипт в AVZ

Код:

begin
 DeleteFile('C:\WINDOWS\system32\syschk32.exe');
DeleteFile('C:\Windows\Tasks\SystemCheck.job');
RebootWindows(true);
end.

Компьютер перезагрузится.

Такой отчет сделайте http://virusinfo.info/showthread.php?t=59446

[NukeReACTOR]

Скрипт в AVZ выполнил

Цитата thyrex:

Такой отчет сделайте http://virusinfo.info/showthread.php?t=59446 »

http://www.getsysteminfo.com/read.ph...debde4da8&ms=0

скопировал с рабочей машинки на больную, загрузившись с Windows PЕ
из system32:
user32.dll
sfc*.*
svchost.exe

из windows:
explorer.exe

sfc /scannow заработал
но KIS2010 далее делает откат в конце установки