Проверти пожалуйста логии [ОК]

[kilo]

В автозагрузке полно непонятных dll, которых там раньше не было видно.

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.log

[AlexNEW]

Можно отчёт GetSystemInfo нам он поможет проверить вашу систему на не совместимые программы и т.д.

 

Так же по логам у вас есть подозрения на RootKit

Сделайте следующее:

 

- Скачайте GMER по одной из указанных ссылок:

Gmer со случайным именем (рекомендуется), Gmer в zip-архиве (перед применением распаковать в отдельную папку)

- Запустите программу (пользователям Vista запускать от имени Администратора по правой кнопке мыши).

Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No.

После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов:

 

* Sections

* IAT/EAT

* Show all

 

Из всех дисков оставьте отмеченным только системный диск (обычно C:\)

- Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.

После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.

Изменено 11 сентября, 2009 пользователем Alexsandr56

[миднайт]

Почему AVZ запущен из архива? Так не годится.

 

В Хиджеке пофиксите:

 

R3 - URLSearchHook: (no name) - - (no file)
O4 - HKUS\S-1-5-19\..\RunOnce: [ZZZZ1_FirstLogonSetting] %SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\custom.inf,OnceFirstLogonInstall,0 (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\RunOnce: [ZZZZ1_FirstLogonSetting] %SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\custom.inf,OnceFirstLogonInstall,0 (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\RunOnce: [ZZZZ2_FirstLogonSetting] %SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\custom.inf,NewUserFirstLogonInstall,0 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [ZZZZ2_FirstLogonSetting] %SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\custom.inf,NewUserFirstLogonInstall,0 (User 'Default user')

 

В АВЗ выполните скрипт:

 

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{A55F9C95-2BB1-4EA2-BC77-DFAAB78832CE}');
DelBHO('{95289393-33EA-4F8D-B952-483415B9C955}');
QuarantineFile('C:\Documents and Settings\Admin\Application Data\Microsoft\Internet Explorer\qipsearchbar.dll','');
QuarantineFile('C:\Program Files\Opera QCon\OperaQC.exe','');
DeleteFile('C:\Documents and Settings\Admin\Application Data\Microsoft\Internet Explorer\qipsearchbar.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('TSW',3,3,true);
RebootWindows(true);
end.

 

Файлы C:\Program Files\Opera QCon\OperaQC.exe и G:\RECYCLER\sEtUp.exe проверьте на virustotal.com

Базы обновить, АВЗ азпускать НЕ из архива, логи повторите.

 

Так же по логам у вас есть подозрения на RootKit

Где именно? Покажите пожалуйста. Изменено 11 сентября, 2009 пользователем миднайт

[AlexNEW]

Где именно? Покажите пожалуйста.

(смотрите скриншот)

AVZ подозревает эти файлы в руткитах.

Поэтому проверку GMER сделать нужно.

[миднайт]

Alexsandr56, насчет этих файлов можно не беспокоиться.

[thyrex]

В автозагрузке полно непонятных dll, которых там раньше не было видно.

Раньше Вы делали логи, с помощью версии AVZ 4.30

 

А теперь делаете с помощью AVZ 4.32

[+++] Менеджер автозапуска - добавлен анализ ряда новых нестандартных методов автозапуска, поддержка этих методов соответственно распространяется на эвристическую чистку системы (LSA провайдеры, Perfomance DLL службы, DLL расширения службы, расширение службы EventLog)

Выполните рекомендации из сообщения №3

Изменено 11 сентября, 2009 пользователем thyrex

[kilo]

Лог Gmer делать?

[миднайт]

Логи АВЗ и Хайджека повторите.

[AlexNEW]

Лог Gmer делать?

Да, лучше сделайте и не забудьте про GetSystemInfo.

[kilo]

новые логи

http://www.virustotal.com/ru/analisis/db17...0c3d-1252716742

virusinfo_syscheck.zip

virusinfo_syscure.zip

Изменено 12 сентября, 2009 пользователем kilo

[snifer67]

Логи чисты.Лог gmera куда делся ?

[thyrex]

Вас просили проверить еще файл G:\RECYCLER\sEtUp.exe

Результатов проверки не видно.

[kilo]

G:\RECYCLER\ - пустая, там нет этого файла

[миднайт]

По последним логам кроме G:\RECYCLER\sEtUp.exe ничего плохого не нашел.

[thyrex]

G - это флэшка? Показ скрытых и системных файлов включен?