[Котяра]

Выполните скрипт в AVZ:

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 SetServiceStart('MEMSWEEP2', 4);
 DeleteService('MEMSWEEP2');
 QuarantineFile('C:\WINDOWS\system32\6F2F.tmp','');
 QuarantineFile('C:\WINDOWS\system32\DRIVERS\epfwtdir.sys','');
 QuarantineFile('C:\WINDOWS\system32\Drivers\okojcc.sys','');
 DeleteFile('C:\WINDOWS\system32\6F2F.tmp');
 BC_ImportDeletedList;
 ExecuteSysClean;     
 BC_Activate;
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
 RebootWindows(true);
end.

После выполнения скрипта Ваш компьютер автоматически перезагрузится. В папке с программой AVZ появится файл quarantine.zip. Его Вам необходимо прислать на E-Mail адрес: koshkin@rbcmail.ru

[segafos]

Котяра
Выслал на указаный адрес карантин

[Pili]

segafos, Найдите с помощью AVZ – сервис – поиск файлов на диске или с помощью файлового менеджера, например FAR (если через проводник – включите показ скрытых файлов) файлы:

Код:

C:\WINDOWS\system32\Drivers\okojcc.sys
C:\WINDOWS\system32\WinFl32.sys

запакуйте в архив с паролем infected и отправьте на newvirus@kaspersky.com, в письме укажите пароль на архив, когда придет ответ, сообщите, если оба окажутся зловредами, выполните скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 SetServiceStart('okojcc', 4);
 QuarantineFile('C:\WINDOWS\system32\WinFl32.sys','');
 QuarantineFile('C:\WINDOWS\system32\Drivers\okojcc.sys','');
 DeleteFile('C:\WINDOWS\system32\Drivers\okojcc.sys');
 DeleteFile('C:\WINDOWS\system32\WinFl32.sys');
 DeleteService('WinFl32');
 DeleteService('okojcc');
BC_ImportDeletedList;
ExecuteSysClean;
 BC_DeleteSvc('okojcc');
BC_Activate;
RebootWindows(true);
end.

Если программа Folder Lock установлена и/или WinFl32.sys окажется чистым, уберите из скрипта строчки

Код:

 DeleteFile('C:\WINDOWS\system32\WinFl32.sys');
 DeleteService('WinFl32');

Запустите HiJackThis, нажмите кнопку "Do a system scan only", в открывшемся окне поставьте галочки напротив указанных строк и нажмите кнопку "Fix Checked".

Код:

R3 - URLSearchHook: (no name) -  - (no file)
O9 - Extra button: (no name) - AutorunsDisabled - (no file)
O9 - Extra button: (no name) - {85e1f530-48f4-11d9-9629-08ff2ffc9f67} - (no file)

У вас jre1.5.0_10
Обновите Java Runtime Environment (JRE)
Скачайте JavaRA здесь или здесь
Распакуйте, запустите, выберите "Remove Older Versions",
Далее нажмите "Search For Updates", выберите "Update Using Sun Java's Website" и "Open Webpage"
Альтернативный вариант - после удаления старой версии скачайте и установите последнюю версию Java Runtime Environment (JRE) с сайта производителя.

Цитата:

Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Рекомендую установить WindowsXP SP3 и все последующие обновления - http://windowsupdate.microsoft.com

Повторите логи.

[segafos]

Pili
отправил на newvirus@kaspersky.com архив с этими двумя файлами, оба чистые, не заражены!
какие дальнейшие действия? Надо в Хайджэке фиксить те строки?

[thyrex]

Цитата segafos:

Надо в Хайджэке фиксить те строки? »

Нужно

[Pili]

Цитата segafos:

какие дальнейшие действия? »

И что с проблемами? Если есть, сделайте логи полиморфным AVZ
Дополнительно скачайте gmer со случайным именем файла(рекомендуется) здесь, либо gmer.zip здесь или здесь, закройте все остальные программы и отключите антивирусное ПО (включите брандмауэр windows или отключите компьютер от локальной сети), запустите программу (в ОС Windows Vista необходимо запускать через правую кн. мыши от имени администратора). После автоматической экспресс-проверки, отметьте галочкой системный диск и нажмите на кнопку "Scan". После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.
Внимание! Если при запуске gmer выйдет окно предупреждающее об обнаружении ROOTKIT activity, нажмите No и в правой панели уберите значки напротив следующих пунктов
• Sections
• IAT/EAT
• Show all

[segafos]

Pili
Проблема так и осталась! Хайджеком профиксил те строки. Гмером не получилось зделать лог (два раза пытался сделать полную проверку диска С, но почти под самый конец комп вырубается и некоторое время не включается)! AVZом сделал логи!

[Pili]

Цитата Pili:

У вас jre1.5.0_10 Обновите Java Runtime Environment (JRE) Рекомендую установить WindowsXP SP3 и все последующие обновления - http://windowsupdate.microsoft.com »

Эти рекомендации вы проигнорировали.

Цитата segafos:

отправил на newvirus@kaspersky.com архив с этими двумя файлами, оба чистые, не заражены! »

Если okojcc.sys и WinFl32.sys чистые , то больше по логам ничего плохого не вижу.
т.к. у вас NOD32 рекомендую отправить эти файлы также на samples@esetnod32.ru; samples@eset.com (отправлять в запароленном архиве, пароль infected) - http://www.esetnod32.ru/support/newvirus.php

Можно продолжить проверку другими утилитами.
Скачайте Malwarebytes' Anti-Malware здесь, здесь, здесь или здесь. Установите, обновите базы, выберите Perform Full Scan (Провести полную проверку), нажмите Scan (Проверить), после сканирования выберите Ок и далее Show Results (Показать результаты), нажмите "Remove Selected" (удалить выделенные, внимание - проверьте то, что удаляете). После удаления откройте лог и скопируйте в сообщение. Логи сканирования можно посмотреть во вкладке Logs (Отчеты), выбрав отчет и нажав кнопку Open (Открыть).
Базы МВАМ можно обновить отдельно - downloading the update MBAM

Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

Установите Recovery Console по инструкции (на англ.яз) - how-to-use-combofix и здесь - скачайте установочный файл для своей ОС (например Windows XP с пакетом обновления 2 (SP2) - для Windows XP SP3 использовать этот же файл) на рабочий стол, закройте все остальные приложения и мышкой перенесите установочный файл на иконку ComboFix и установите Microsoft Recovery Console. Доп. см. Установочные диски для установки с гибкого диска.
После установки консоли восстановления программа предложит запустить сканирование, подтвердите, нажав Yes.
Когда процесс сканирования завершится, скопируйте (Ctrl+A, Ctrl+C) текст из C:\ComboFix.txt и вставьте (Ctrl+V) в следующее сообщение если текст не уместится в одном сообщении, продолжите его в следующем или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.

Внимание! Перед запуском сканирования обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix и не нажимайте кнопки мыши. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер.

Как использовать ComboFix - how-to-use-combofix (на англ.яз.) и здесь (на русском)
Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

Скачайте OTListIt2, сохраните на рабочий стол и запустите, выберите: Scan All Users, Minimal Output, File Age: 30 Days, поставьте галочку LOP Check, Purity Check и в Extra Registry - Use Safe list.
Под строчкой Custom Scan вставьте
netsvcs
drivers32
Нажмите Run Scan, когда закончится процесс сканирования, откроются два файла OTListIt.Txt и Extras.txt , скопируйте (Ctrl+A, Ctrl+C) текст из этих файлов и вставьте (Ctrl+V) в следующее сообщение, если текст не уместится в одном сообщении, продолжите его в следующем или запакуйте полученные логи C:\OTListIt.Txt и C:\Extras.txt и прикрепите к сообщению.

Скачайте RootRepeal, распакуйте и запустите. Перейдите на вкладку Report и нажмите Scan. Поставьте все галки, а затем на вновь появившемся окне выберите диск С. После окончания исследования системы нажмите на кнопку Save Report, сохраните лог и вложите в сообщение.

[segafos]

блин, сложновато все эти логи делать!вот в роде бы все, что просили, сделал. в РутРепил нашел этот файл fidbox.dat, думаю, что сейчас все решится с ним!