[alex_sev]

Цитата:

Что же теперь: по одному их "скармливать" в систему?

Можно запустить переустановку системы в режиме восстановления (во всяком случае в XP была такая возможность), после этого удалятся все точки восстановления и придется заново устанавливать все обновления системы, установленные программы и пользовательские файлы и настройки затронуты не будут.

[rzdpasha]

Мысль. В этом-то режиме не должно возникнуть проблем с доступом к жизненно важным файлам. А всё-таки хочется поставить себе 7 и сравнить с заболевшей системой.

[zirreX]

Цитата rzdpasha:

почему же нет в семерке нечто похожего на SFC той же XP? »

С чего взяли что нет?

Особенности работы средства проверки системных файлов (SFC.exe) в среде Windows RE

[rzdpasha]

Цитата zirreX:

С чего взяли что нет? »

Просто неправильно выразился. В приведенной ссылке как раз рассматривается решение проблемы, с которой, собственно, я и столкнулся.

[rzdpasha]

Возвращаемся к нашим баранам. После длительного сканирования DrWeb Live (и не одного, + снял HDD и проверил при помощи Emsisoft на своём компе) продолжаем лечение. Уж очень достойной мне показалась эта продукция (Emsisoft). Кстати говоря, это один из двух/трёх антивирусных продуктов, которые однозначно указали на заражение вышеупоминавщихся файлов explorer.exe и spoolsv.exe на VirusTotal. Кажется, гадость больше не размножается, но антивирусы по-прежнему не устанавливаются. AVZ так и ругается на маскировку процессов. Прикладываю логи AVZ и, на всякий, отчет Emsisoft (кому интересно).

[SolarSpark]

Цитата rzdpasha:

AVZ так и ругается на маскировку процессов »

для семерки это нормально

по отчету

Цитата rzdpasha:

Emsisoft »

вижу все тот же вирут..
заново применяем VirutKiller.exe http://support.kaspersky.ru/faq/?qid=208636998 , до кучи после него SalityKiller.exe http://support.kaspersky.ru/faq/?qid=208636131 . хуже не будет

Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду Combofix /Uninstall, нажмите кнопку "ОК"


Скачайте OTCleanIt или с зеркала, запустите, нажмите Clean up

Отключите:
Антивирус/Файерволл

AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFile('c:\users\7272~1\appdata\local\temp\qsyn.exe','');
 DeleteFile('c:\users\7272~1\appdata\local\temp\qsyn.exe');
 DeleteService('QSYN');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится!

После перезагрузки выполните такой скрипт:

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин.Отправьте quarantine.zip при помощи этой формы. В теле письма укажите свой ник на форуме и ссылку на тему

Сделайте повторные логи AVZ + RSIT

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. http://data.mbamupdates.com/tools/mbam-rules.exe Загрузить обновление MBAM

[rzdpasha]

Цитата SolarSpark:

для семерки это нормально »

Понятно.

Цитата SolarSpark:

заново применяем VirutKiller.exe http://support.kaspersky.ru/faq/?qid=208636998 , до кучи после него SalityKiller.exe http://support.kaspersky.ru/faq/?qid=208636131 . хуже не будет »

Да куда уж хуже)) Скоро займусь.
Так. VirutKiller новой версии ничего не нашёл. Продолжаем с Sality..

[rzdpasha]

Цитата SolarSpark:

Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду Combofix /Uninstall, нажмите кнопку "ОК" »

Не получилось. Ругается на отсутствие файла, хотя тот на рабочем столе. Удалил вручную. Ничего?

[rzdpasha]

Вот же зараза. Превысил 1Мб вложений. Вот остальные:

[zirreX]

Цитата rzdpasha:

Не получилось. Ругается на отсутствие файла, хотя тот на рабочем столе. Удалил вручную. Ничего? »

Запустите OTCleanIt, нажмите Clean up.

Проведите полную проверку свежим Dr.Web CureIt! из безопасного режима.

Какому устройству в вашей системе присвоена буква F?