Помогите, пожалуйста. [OK]

[morfei]

Ситуация точь в точь с этой.

Вот только после того как каспер лечит перезагружается комп и виснет. после повторного запуска все повторяется....

hijackthis.log

virusinfo_syscheck.zip

virusinfo_syscure.zip

[snifer67]

Выполните скрипт в avz

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('WebaltaController');
DeleteService('6490D9B2');
DeleteService('fcsdzcv');
DeleteService('aw');
QuarantineFile('E:\WINDOWS\Fonts\F4537BEA.DLL','');
QuarantineFile('E:\WINDOWS\system\ming9b090423.exe','');
QuarantineFile('E:\WINDOWS\system32\drivers\LBT.exe','');
QuarantineFile('E:\WINDOWS\vcdzvc .exe','');
QuarantineFile('E:\WINDOWS\system32\LWDIMW355Y\J001.exe','');
QuarantineFile('E:\WINDOWS\Fonts\EDC9B21A.EXE','');
QuarantineFile('E:\WINDOWS\system\nb9ming32c090423.dll','');
QuarantineFile('c:\pcards\cardserv\cardserv.exe','');
DeleteFile('E:\WINDOWS\system\nb9ming32c090423.dll');
DeleteFile('E:\WINDOWS\system32\LWDIMW355Y\J001.exe');
DeleteFile('E:\WINDOWS\vcdzvc .exe');
DeleteFile('E:\WINDOWS\system\ming9b090423.exe');
DeleteFile('E:\WINDOWS\system32\drivers\LBT.exe');
DeleteFile('E:\WINDOWS\Fonts\F4537BEA.DLL');
DeleteFile('E:\WINDOWS\Fonts\F4537BEA.DLL');
DeleteFile('E:\WINDOWS\Fonts\EDC9B21A.EXE');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','ming9bstart');
DeleteFileMask('E:\Program Files\Webalta', '*.*', true);
DeleteDirectory('E:\Program Files\Webalta');
DeleteFileMask('E:\WINDOWS\system32\LWDIMW355Y', '*.*', true);
DeleteDirectory('E:\WINDOWS\system32\LWDIMW355Y');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

ПК перезагрузится.

 

Выполнить скрипт в AVZ.

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com. Полученный ответ сообщите здесь.

 

Сделайте новые логи.

Изменено 24 сентября, 2009 пользователем snifer67

[миднайт]

Обновите базы АВЗ!

=

cut\

Изменено 24 сентября, 2009 пользователем миднайт

[morfei]

готово, после выполнения скрипта комп не успев загрузиться сразу перезагрузился. потом только с раза 3 нормально включился без зависания.

 

и кстати касперский сейчас не хочет запускаться....

hijackthis.log

virusinfo_syscure.zip

virusinfo_syscheck.zip

[snifer67]

А вот и звери появились.

 

Выполните скрипт в avz

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('WebaltaController');
QuarantineFile('E:\Temp\Ndisflt.sys','');
QuarantineFile('E:\Temp\Drvftl.sys','');
QuarantineFile('e:\windows\system32\emqzjjurmfvkrkex9gj.inf','');
QuarantineFile('e:\windows\tasks\jjx5r8wnsqunnxgwpwn.inf','');
QuarantineFile('E:\WINDOWS\system32\EMQzJJURMfVkrkEx9GJ.inf','');
QuarantineFile('E:\WINDOWS\Tasks\JJX5r8wnsqUnNxGwpwn.inf','');
DeleteFile('e:\windows\tasks\jjx5r8wnsqunnxgwpwn.inf');
DeleteFile('e:\windows\system32\emqzjjurmfvkrkex9gj.inf');
DeleteFile('E:\WINDOWS\Tasks\JJX5r8wnsqUnNxGwpwn.inf');
DeleteFile('E:\WINDOWS\system32\EMQzJJURMfVkrkEx9GJ.inf');
DeleteFile('E:\Temp\Drvftl.sys');
DeleteFile('E:\Program Files\Webalta\WebaltaUpdaterService.exe');
BC_DeleteFile('E:\Program Files\Webalta\WebaltaUpdaterService.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks','{A2BCFCEE-C939-433F-A32A-7353A6E720DB}');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks','{D36A1DF7-6582-4160-B925-59A34E39FE30}');
DeleteFileMask('%Tmp%', '*.*', true);
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(9);
BC_Activate;
RebootWindows(true);
end.

ПК перезагрузится.

 

Выполнить скрипт в AVZ.

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com. Полученный ответ сообщите здесь.

 

Скачайте GMER по одной из указанных ссылок:

Gmer со случайным именем (рекомендуется), Gmer в zip-архиве (перед применением распаковать в отдельную папку)

- Запустите программу (пользователям Vista запускать от имени Администратора по правой кнопке мыши).

Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No.

После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов:

• Sections
  
• IAT/EAT
  
• Show all
  

Из всех дисков оставьте отмеченным только системный диск (обычно C:\)

- Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.

После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.

 

Срочно ставить sp3 !

Сделайте новые логи.

Изменено 24 сентября, 2009 пользователем snifer67

[morfei]

запустилась защита файлов виндовс, ругается на замену файлов и просится восстановиться...но увы сд-рома не работает что бы это сделать..

[snifer67]

Включите восстановление системы и перезагрузите систему.Потом выключите восстановление системы.Сделаете логи avz и gmer.+выполнить скрипт №2

Изменено 24 сентября, 2009 пользователем snifer67

[morfei]

система при запуске стала виснуть...не дает ничего сделать, успеваю посмотреть что запускаются различные ненужные процессы типа cmd.exe, iexplorer и т.д. =( безапасный режим тоже не дается, сразу перезагружается. Посоветуйте какую-нибудь утилитку чтоб с ERD коммандера можно было просканировать и полечить компьютер или какие-нибудь другие альтернативы...

Изменено 24 сентября, 2009 пользователем morfei

[morfei]

все вылечил из под ERD коммандером утилитой доктор веба. при загрузке винда стала ругаться и опять каспер начал ругаться на вирусы, не долго думая восстановил винды с дистрибутива накатил 3 сервис пак и все работает вроде норм тьфу-тьфу-тьфу...