[iskander-k]

1. Отключите интернет и локальную сеть если таковая имеется.
2. Очистите временные файлы.
   Очистите временные файлы через Пуск - Программы - Стандартные - Служебные - Очистка диска или с помощью ATF Cleaner.
   • Скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
   • Если вы используете Firefox, нажмите Firefox - Select All - Empty Selected.
   • Нажмите No, если вы хотите оставить ваши сохраненные пароли.
   • Если вы используете Opera, нажмите Opera - Select All - Empty Selected.
   • Нажмите No, если вы хотите оставить ваши сохраненные пароли.
3. Восстановление системы. Создание новой контрольной точки восстановления и очистка предыдущих.
   • Создание новой точки восстановления: Нажмите Пуск > Программы > Стандартные > Служебные > Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать.
   • Очистка всех предыдущих точек восстановления: Нажмите Пуск > Программы > Стандартные > Служебные > Очистка диска, выберите системный диск, на вкладке Дополнительно > Восстановление системы нажмите Очистить, нажмите Да для очистки всех точек восстановления, кроме последней.

* Подробнее можно прочитать в этой теме.

•Скачайте ComboFix или здесь или здесь и сохраните на рабочий стол.
1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Как использовать ComboFix
Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe.

[Nom]

Проверил комп с помощью комбофикс. Вначале ругался на то что не отключен "ashampoo antivirus". Хотя такого на компьютере нет. Правда когда-то давно я устанавливал его. Но в любом случае я его удалял. В процессах ничего от него не заметил, поиск по компьютеру со словом ashampoo тоже ничего не дал. После выдал "Cd emulation drivers are running on this machine. Combo fix needs to temprorarely disable them" и перезагрузился. Включаясь выдал сообщение что не установлена recovery console, и предложил скачать её. Но интернет сегодня днем у меня не работал, поэтому пришлось отказаться.
Проверку на всякий случай сделал ещё одни раз, надеясь что этого призрачного ashampoo antivirus-а не будет, но сообщение о включенном антивирусе все равно появилось. Поэтому в архиве 2 ComboFix.txt
И ещё странность - заметил что исчезла языковая панель после комбофикса. Включил её заново. После перезагрузки оказалось что Punto Switcher включен. И оказалось что в автозагрузке он почему-то 2 раза. Попробовал убить процесс и запустить заново - но нет, больше он не запускаестя, ни в ручную, ни после перезагрузки. Ради интереса попробовал поставить на автозагрузку сразу несколько копий avz - но он все равно не запустился.

[thyrex]

Попробуйте сделать логи полиморфным AVZ (февральская сборка, ссылка в моей подписи)

[Nom]

Тоже не запускается. В Process Explorer-е иногда бывает видно что он запускается и моментально исчезает.

[thyrex]

А если попробовать такой AVZ?

[Nom]

А он запустился. Сейчас сделаю проверку. А чем он отличается, просто любопытно?

[Nom]

Сделал, прикрепил файлы. Правда не смог обновить базы как было написано в инструкциях, так как пункт "Файл - Обновление баз" в программе серый

[thyrex]

Обновление баз в этом AVZ недоступно.

У Вас был Kates. Смените все пароли как можно быстрее

Выполните скрипт в AVZ

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\DOCUME~1\Nomad\LOCALS~1\Temp\mygpyub.bak','');
 DeleteFile('C:\DOCUME~1\Nomad\LOCALS~1\Temp\mygpyub.bak');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Drivers32','midi9');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(14);
RebootWindows(true);
end.

Компьютер перезагрузится.

Выполните скрипт в AVZ

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

quarantine.zip из папки AVZ отправьте через форму http://support.kaspersky.ru/virlab/helpdesk.html. В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus"(без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Полученный ответ сообщите здесь.

Просьба: когда придет ответ из вирлаба с номером KLAN, сообщите его, пожалуйста
Также отправьте архив с карантином на thyrex2002<at>tut.by (at=@) с указанной ссылкой на тему

Сделайте новые логи (обычный AVZ уже должен запуститься)

[Nom]

Да, теперь все заработало. Большое спасибо. Архив с вирусом отправил. Когда придет ответ отпишусь.
PS В типе запроса нужно было выбрать неизвестная вредоносная программа, или запрос на описание? Я выбрал первое.