вирусы бесконечны

[gatin69]

каждый день начал осуществлять полную проверку компа на вирусы, и ежедневно находятся по 30-40 штук, а иногда и сотнями.

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.log

[snifer67]

Выполните скрипт в avz

begin
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
StopService('sddewe DDOS Service');
StopService('RemoteStorage');
QuarantineFile('C:\WINDOWS\tаskmrg.exe','');
DelCLSID('{67KLN5J0-4OPM-00WE-AAX5-74KC2A323342}');
QuarantineFile('c:\DATA\SYSTEM\Xp.exe','');
QuarantineFile('C:\WINDOWS\system32\RsmrtqC.dll','');
DeleteService('msekddaeo');
DeleteService('Natsdfasdfaservice');
DeleteService('sddewe DDOS Service');
DeleteService('RemoteStorage');
QuarantineFile('c:\windows\system32\srojn.dll','');
QuarantineFile('c:\windows\system32\piuvzktjhmhgnyh.dll','');
QuarantineFile('c:\documents and settings\777\Мои документы\downloads\megaline traffics\traffguard.exe','');
QuarantineFile('c:\windows\system32\server.exe','');
TerminateProcessByName('c:\windows\system32\server.exe');
DeleteFile('c:\windows\system32\server.exe');
DeleteFile('c:\windows\system32\piuvzktjhmhgnyh.dll');
DeleteFile('c:\windows\system32\srojn.dll');
DeleteFile('C:\WINDOWS\system32\z\D001.exe');
DeleteFile('C:\WINDOWS\system32\Mfeaea.exe');
DeleteFile('C:\WINDOWS\system32\RsmrtqC.dll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\sfjieawr\Parameters','ServiceDll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\asp.net-Stat\Parameters','ServiceDll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\ias\Parameters','ServiceDll');
DeleteFile('c:\DATA\SYSTEM\Xp.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

ПК перезагрузится.

 

Выполнить скрипт в AVZ.

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com,в письме укажите пароль на архив virus. Полученный ответ сообщите здесь.

 

Скачайте GMER по одной из указанных ссылок:

Gmer со случайным именем (рекомендуется), Gmer в zip-архиве (перед применением распаковать в отдельную папку)

- Запустите программу (пользователям Vista запускать от имени Администратора по правой кнопке мыши).

Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No.

После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов:

• Sections
  
• IAT/EAT
  
• Show all
  

Из всех дисков оставьте отмеченным только системный диск (обычно C:\)

- Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.

После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.

 

Сделайте новые логи.

[gatin69]

качайте GMER по одной из указанных ссылок:

Gmer со случайным именем (рекомендуется), Gmer в zip-архиве (перед применением распаковать в отдельную папку)

почему то ссылки не загружаются

[snifer67]

Возьмите gmer отсюда:

9gk7z6v4.rar

[gatin69]

Возьмите gmer отсюда:

 

на 3 секунде после старта закрывается и выдает ошибку

Изменено 25 января, 2010 пользователем gatin69

[ТроПа]

Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

 

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.

2. Запустите combofix.exe, когда процесс завершится лог сохраниться в файл C:\ComboFix.txt

 

 

 

Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe. ComboFix. Руководство по применению.

Полученный лог прикрепите к сообщению

 

Если и этот лог не получится сделать, то в АВЗ, включите: AVZPM-->Установить драйвер расширенного мониторинга процесов

И повторите логи АВЗ.

[gatin69]

Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

 

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.

2. Запустите combofix.exe, когда процесс завершится лог сохраниться в файл C:\ComboFix.txt

 

 

 

Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe. ComboFix. Руководство по применению.

Полученный лог прикрепите к сообщению

 

Если и этот лог не получится сделать, то в АВЗ, включите: AVZPM-->Установить драйвер расширенного мониторинга процесов

И повторите логи АВЗ.

 

Combofix - после запуска появляется загрузочное окошко, загрузка проходит до конца , изображение на мониторе несколько раз дергается как при обновлении, и на это все.

логи АВЗ повторил в папке ЛОГ они остались без изменений, (дата изменения осталась старой) поменялась дата на архиве quarantine, я его отправил на newvirus@kaspersky.com

Изменено 27 января, 2010 пользователем gatin69

[strat]

удалите логи перед тем как делать новые

[akoK]

Скачайте OTL by oldtimer на рабочий стол и запустите файл.

 

• Поставьте галочку в пункте "Scan All Users".
  
• В окно Custom Scan/Fixes вставьте следующий текст:
  

 

netsvcs
%SYSTEMDRIVE%\*.exe
/md5start
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
sceclt.dll
ntelogon.dll
logevent.dll
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
nvrd32.sys 
beep.sys
/md5stop
%systemroot%\*. /mp /s
CREATERESTOREPOINT

 

Сохраните оба лога и прикрепите к своему сообщению.

[gatin69]

Сохраните оба лога и прикрепите к своему сообщению.

Логи где и как сохраняются ?

[akoK]

Нужны OTListIt.txt и Extra.txt

 

Их можно найти в папке otl в корне системного диска.

 

Кликали по кнопке "Run Scan"?

[gatin69]

Нужны OTListIt.txt и Extra.txt

 

Их можно найти в папке otl в корне системного диска.

 

Кликали по кнопке "Run Scan"?

 

по кнопке кликал, папку otl не нашел

[akoK]

Вот как. Хорошо...

 

 

Подготовьте свежий комплект логов AVZ.

[gatin69]

Вот как. Хорошо...

 

 

Подготовьте свежий комплект логов AVZ.

 

на счет того что все хорошо, у меня большие сомнения. Вирусы вроде пока не находятся в ходе последних проверок, но система заметно инвалидизировалась.

логи вот:

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis.log

[thyrex]

Выполните скрипт в AVZ

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\tаskmrg.exe','');
QuarantineFile('C:\Program Files\java6.5\java.exe','');
QuarantineFile('C:\WINDOWS\Ati2enn.exe','');
QuarantineFile('C:\WINDOWS\Ati2ezz.exe','');
DeleteService('Ati2ezz');
DeleteService('Ati2enn');
DeleteFile('C:\WINDOWS\Ati2ezz.exe');
DeleteFile('C:\WINDOWS\Ati2enn.exe');
DeleteFile('C:\WINDOWS\tаskmrg.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','msoffice');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

 

Выполните скрипт в AVZ

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com. Полученный ответ сообщите здесь.

 

Сделайте новые логи