[Drongo]

seman, Привет.

• Скрипт AVZ.
Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('c:\program files\solidworks\sldappu.dll.bak','');
 QuarantineFile('tkcqxh.sys','');
 DeleteFile('tkcqxh.sys');
 DeleteFile('c:\program files\solidworks\sldappu.dll.bak');
 DeleteService('tkcqxh');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После всех процедур выполните скрипт

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин quarantine.zip. Отправьте полученный файл quarantine.zip из папки AVZ через данную форму. В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus" (без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Результаты ответа, сообщите здесь, в теме.


И обязательно сделайте лог GMER

Загрузите GMER по одной из указанных ссылок
Gmer со случайным именем (рекомендуется), Gmer в zip-архиве (перед применением распаковать в отдельную папку)
Запустите программу (пользователям Vista запускать от имени Администратора по правой кнопке мыши).
Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No.
После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов:

• Sections
• IAT/EAT
• Show all

Из всех дисков оставьте отмеченным только системный диск (обычно C:\)
Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.
После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.

[seman]

Цитата Drongo:

И обязательно сделайте лог GMER »

программу не удается запустить.
вылетает виндовая ошибка при запуске, пробЫвал несколько раз в разных режимах - никак.

Цитата Drongo:

В результате выполнения скрипта будет сформирован карантин quarantine.zip. Отправьте полученный файл quarantine.zip из папки AVZ через данную форму. В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus" (без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Результаты ответа, сообщите здесь, в теме. »

не удается отправить в форму, поскольку размер карантина 3мб, а в форме разрешено не более 1.5 мб

[iskander-k]

• Скачайте Malwarebytes Anti-Malware, установите, обновите базы, выберите Perform Full Scan, нажмите Scan, после сканирования - Ok - Show Results (показать результаты) - нажмите Remove Selected (удалить выделенные). Откройте лог и скопируйте в сообщение.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

[seman]

iskander-k,
Malwarebytes' Anti-Malware 1.45
www.malwarebytes.org

Версия базы данных: 4051

Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512

29.04.2010 21:34:21
mbam-log-2010-04-29 (21-34-21).txt

Тип сканирования: Полное сканирование (C:\|)
Просканированные объекты: 240476
Времени прошло: 49 минут, 24 секунд

Зараженные процессы в памяти: 0
Зараженные модули в памяти: 0
Зараженные ключи в реестре: 0
Зараженные параметры в реестре: 0
Объекты реестра заражены: 0
Зараженные папки: 0
Зараженные файлы: 2

Зараженные процессы в памяти:
(Вредоносных программ не обнаружено)

Зараженные модули в памяти:
(Вредоносных программ не обнаружено)

Зараженные ключи в реестре:
(Вредоносных программ не обнаружено)

Зараженные параметры в реестре:
(Вредоносных программ не обнаружено)

Объекты реестра заражены:
(Вредоносных программ не обнаружено)

Зараженные папки:
(Вредоносных программ не обнаружено)

Зараженные файлы:
C:\System Volume Information\_restore{82C19E2F-3143-4EC1-A5BA-0561304C02C3}\RP201\A0038258.dll (Hacktool) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\oobe\AntiWPA_Crypt.dll (Hacktool) -> Not selected for removal.

сообщение каспера о наличии Kido появляется время от времени в svchost.exe

[icotonev]

После выполнения сканирования с МБАМ, Gmer - пробовали запускать..?

[seman]

icotonev,
пробЫвал. все так же ошибка

[thyrex]

Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет, пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, файл C:\ComboFix.txt прикрепите к сообщению.
Примечание: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

[seman]

Цитата thyrex:

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет, пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix. 2. Запустите combofix.exe, когда процесс завершится, файл C:\ComboFix.txt прикрепите к сообщению. Примечание: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe »

после запуска компьютер перезагрузился

потом пошли стадии
на stage2 вылезла ошибка сбой приложения, нажал ок, стадии продолжились
через некоторое время

issch.exe сбой при инициализации dll
ivagent.exe сбой при инициализации dll
hppusg.exe сбой при инициализации dll
cf21199.cfxxe сбой при инициализации dll

please do not reboot manualy

на этом все застопорилось

может попробывать на другом компе запустить gmer и подключить диск к компьютеру и проверить

или это уже будет не то?

[seman]

файл все таки создался, после вынужденного резета