[Drongo]

Firelord, Выполните рекомендации и прикрепите к следующему сообщению полученные логи.

[Firelord]

вот логи

[Drongo]

Firelord, Здравствуй дорогой.

Предварительные рекомендации перед лечением:
Отключитесь от Интернет и локальной сети если таковая есть.

1. Очистите временные файлы.
   
   Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner
   - скачайте ATF Cleaner или с зеркала, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
   - если вы используете Firefox, нажмите Firefox - Select All - Empty Selected
   - нажмите No, если вы хотите оставить ваши сохраненные пароли
   - если вы используете Opera, нажмите Opera - Select All - Empty Selected
   - нажмите No, если вы хотите оставить ваши сохраненные пароли.
   
   
2. Восстановление системы. Создание новой контрольной точки восстановления и очистка предыдущих.
   • Создание новой точки восстановления: Нажмите Пуск => Программы => Стандартные => Служебные => Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать
   • Очистка всех предыдущих точек восстановления: Нажмите Пуск => Программы => Стандартные => Служебные => Очистка диска, выберите системный диск, на вкладке Дополнительно => Восстановление системы нажмите Очистить, нажмите Да для очистки всех точек восстановления, кроме последней.
     
     Как это сделать, можно подробно прочитать здесь.

* Подробнее можно прочитать в этой теме.


• Скрипт AVZ.
Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('riodrv.exe','');
 QuarantineFile('C:\WINDOWS\system32\wrZ2tokl.dll','');
 QuarantineFile('C:\WINDOWS\system32\servises.exe','');
 QuarantineFile('C:\WINDOWS\system32\bmpndrv.exe','');
 QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
 QuarantineFile('C:\Program Files\AskTBar\SrchAstt\1.bin\A5SRCHAS.DLL','');
 DeleteFile('C:\Program Files\AskTBar\SrchAstt\1.bin\A5SRCHAS.DLL');
 DeleteFile('C:\WINDOWS\system32\sdra64.exe');
 DeleteFile('C:\WINDOWS\system32\bmpndrv.exe');
 DeleteFile('C:\WINDOWS\system32\servises.exe');
 DeleteFile('C:\WINDOWS\system32\wrZ2tokl.dll');
 DeleteFile('riodrv.exe');
 DelBHO('{8DAE90AD-4583-4977-9DD4-4360F7A45C74}');
 DelBHO('{9CB65201-89C4-402c-BA80-02D8C59F9B1D}');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
 ExecuteRepair(13);
RebootWindows(true);
end.

После всех процедур выполните скрипт

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин quarantine.zip Вышлите полученный файл quarantine.zip на newvirus@kaspersky.com. Результаты ответа, сообщите здесь, в теме.

• HiJackThis Нужно пофиксить эти строки в HiJackThis. Выставив галочки напротив этих пунктов и нажмите кнопку Fix Checked. Как пофиксить в HijackThis

Код:

R3 - URLSearchHook: (no name) -  - (no file)
R3 - URLSearchHook: (no name) - {9CB65206-89C4-402c-BA80-02D8C59F9B1D} - C:\Program Files\AskTBar\SrchAstt\1.bin\A5SRCHAS.DLL (file missing)
F2 - REG:system.ini: Shell=Explorer.exe riodrv.exe
F2 - REG:system.ini: UserInit=userinit.exe,riodrv.exe,C:\WINDOWS\system32\sdra64.exe,
O4 - HKLM\..\Run: [servises] C:\WINDOWS\system32\servises.exe
O4 - HKCU\..\Run: [servises] C:\WINDOWS\system32\servises.exe
O4 - HKLM\..\Policies\Explorer\Run: [servises] C:\WINDOWS\system32\servises.exe
O4 - HKCU\..\Policies\Explorer\Run: [servises] C:\WINDOWS\system32\servises.exe
O4 - HKCU\..\Run: [iocxmst] C:\WINDOWS\system32\winohybp.exe
O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)

[Firelord]

вот письмо:
Здравствуйте,


sdra64.exe_ - Trojan-Dropper.Win32.Agent.aufb

Этот файл определяется антивирусом. Обновите антивирусные базы.

Пожалуйста, при ответе включайте переписку целиком.
Ответ актуален для последних баз с источников обновлений.

>
>
>
> Погода на черноморских курортах<http://www.ukr.net/ScvKZC/footer/6f7345>.
>
-----------------
С уважением, Виталий Бутузов
Вирусный аналитик, Лаборатория Касперского
123060, Россия, Москва, 1-й Волоколамский проезд дом 10, стр 1
Тел./факс: + 7 (495) 797 8700
http://www.kaspersky.ru http://www.viruslist.ru

[thyrex]

Firelord, сделайте новые логи для контроля за процессом лечения

[Firelord]

не понял те же логи ещё раз сделать?

[akok]

Firelord, да, необходимо повторить процедуру подготовки логов.

[Firelord]

вот логи новые

[Drongo]

Firelord, Логи чистые.

Не игнорируйте рекомендации!
•Рекомендации:
• В данном логе есть службы и настройки которые могут быть использованы в качестве потенциальной опасности:

Цитата:

>> Безопасность: разрешен автозапуск программ с CDROM >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...) >> Безопасность: к ПК разрешен доступ анонимного пользователя

Что из перечисленного в списке не нужно вам?


• Обновите Windows XP SP2 до WindowsXP SP3, а также все последние обновления с http://windowsupdate.microsoft.com/
• Рекомендую проверять систему регулярно, утилитой CureIT
• Регулярно обновляйте базы для вашего антивируса.
• Не работайте с правами Администратора на компьютере.

---

Что с проблемой, решилась?