[zirreX]

Vaneo, для контроля советую подготовить стандартный набор логов (AVZ & RSIT).

Папку C:\_OTM запакуйте c паролем virus и отправьте через эту форму.

Цитата Vaneo:

Прошлепал вирус, кстати, NOD 32 2.7, даром, что обновленный »

Настоятельно рекомендую установить Eset Smart Security 4.0 или 4.2, версия 2.7 морально устарела!

[Vaneo]

Цитата zirreX:

Папку C:\_OTM запакуйте c паролем virus и отправьте через эту форму. »

Т.е. мне запаковать ..\_OTM, который сгенерился после работы ОТМ-скрипта?
Там по форме предлагается прислать "quarantine.zip и/или virusinfo_cure.zip (другие недопустимы)" Это от AVZ, а куда там прилепить OTM?

Стандартные логи AVZ/RSIT приложить сюда к сообщению просто, я правильно понял?

[zirreX]

Цитата Vaneo:

Стандартные логи AVZ/RSIT приложить сюда к сообщению просто, я правильно понял? »

Да.

Цитата Vaneo:

Т.е. мне запаковать ..\_OTM, который сгенерился после работы ОТМ-скрипта? Там по форме предлагается прислать "quarantine.zip и/или virusinfo_cure.zip (другие недопустимы)" Это от AVZ, а куда там прилепить OTM? »

Да, запакуйте с паролем virus и отправьте архив на мою почту _

[Vaneo]

Вот логи RSIT и AVZ. Карантин пустой.
_OTM я пришлю завтра, если вы не возражаете, а то к компьютеру тому не всегда есть доступ по житейским причинам

[zirreX]

Отключите:
Компьютер от интернета/локальной сети
Антивирус/Файерволл

• Выполните скрипт AVZ

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('D:\WINNT51\dimqli.dll','');
QuarantineFile('D:\WINNT51\system32\msupdte.exe','');
DeleteFile('D:\WINNT51\system32\msupdte.exe');
DeleteFile('D:\WINNT51\dimqli.dll');
DeleteFileMask('D:\Documents and Settings\User\Application Data\B0F2743Ca','*.*', true);
DeleteFileMask('D:\Program Files\Common Files\B0F2743Ca','*.*', true);
DeleteDirectory('D:\Documents and Settings\User\Application Data\B0F2743Ca\');
DeleteDirectory('D:\Program Files\Common Files\B0F2743Ca\');
RegKeyDel('HKEY_LOCAL_MACHINE','software\microsoft\shared tools\msconfig\startupreg\Lceqey');
RegKeyDel('HKEY_LOCAL_MACHINE','software\microsoft\shared tools\msconfig\startupreg\Microsoft WinUpdate');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(20);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится!

После перезагрузки выполните такой скрипт:

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин.Отправьте c:\quarantine.zip при помощи этой формы

Подготовьте повторный лог RSIT

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.


Обновите Internet Explorer до восьмой версии.
Обновлять IE необходимо даже в том случае, если Вы используете другой браузер, так как он очень глубоко интегрирован в ОС Windows.

Обновите Adobe Reader до последней версии.

[Vaneo]

_OTM я отправил вам на почту, с паролем virus.
По форме тоже отправил оба отчета.
IE обновил, Acrobat тоже (не знал, что он может насолить).

Логи RSIT прикрепляю к сообщению.
MBAM я скачал и обновил, но при проверке возникает беда, выкидывающая BSOD (лог Errorlog.txt во вложении; исключить что-ли просто его из проверки?)

[zirreX]

Vaneo, зловредов в логе больше не вижу.

[Vaneo]

Да, но во время проверки MBAM говорил про одного. Сейчас попробую исключить ntdll.dll из проверки просто...

[zirreX]

Заново запустите сканирование

[Vaneo]

Запускал два раза, в первый раз списал на случайность.
Добавил ntdll.dll в игнор лист, запустил сканироваться заново.