Убивает exeшники

[LexaKiller]

Кое как запустил avz.

Проверьте логи, пожалуйста.

hijackthis.log

virusinfo_syscheck.zip

virusinfo_syscure.zip

[Falcon]

Добрый день.

 

Выполните следующий скрипт В AVZ:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\system32\ngrskter.dll','');
QuarantineFile('C:\WINDOWS\system32\msfeedssync.exe','');
DelBHO('{FFFFE708-B832-42F1-BAFF-247753B5E452}');
DelBHO('{71E59D37-D7FC-4ED6-BC1D-D13BE02FE6C5}');
QuarantineFile('C:\WINDOWS\system32\3rs23592.dll','');
QuarantineFile('c:\windows\system32\sdra64.exe','');
QuarantineFile('C:\WINDOWS\system\Fun.exe','');
QuarantineFile('C:\WINDOWS\dc.exe','');
QuarantineFile('C:\WINDOWS\system32\Matrix3D.scr','');
QuarantineFile('C:\Documents and Settings\1\Local Settings\Temp\NEventMessages.dll','');
DeleteService('naiaxm');
DeleteService('bztgxlcak');
QuarantineFile('c:\program files\madmodule\madservice.exe','');
DeleteFile('C:\WINDOWS\system32\01.tmp');
DeleteFile('C:\WINDOWS\dc.exe');
RegKeyParamDel('HKEY_USERS','S-1-5-21-1229272821-1958367476-839522115-1004\Software\Microsoft\Windows\CurrentVersion\Run','dc');
DeleteFile('C:\WINDOWS\system\Fun.exe');
RegKeyParamDel('HKEY_USERS','S-1-5-21-1229272821-1958367476-839522115-1004\Software\Microsoft\Windows\CurrentVersion\Run','Fun');
DeleteFile('c:\windows\system32\sdra64.exe');
DeleteFile('C:\WINDOWS\system32\3rs23592.dll');
DeleteFile('C:\WINDOWS\system32\ngrskter.dll');
DeleteFileMask('%Tmp%', '*.*', true);
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('naiaxm');
BC_DeleteSvc('bztgxlcak');
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 

Затем такой скрипт в AVZ:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Oтправьте quarantine.zip по электронной почте на адрес newvirus@kaspersky.com. О результате сообщите.

 

Дополнительно:

- Скачайте GMER по одной из указанных ссылок:

Gmer со случайным именем (рекомендуется), Gmer в zip-архиве (перед применением распаковать в отдельную папку)

- Запустите программу (пользователям Vista запускать от имени Администратора по правой кнопке мыши).

Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No.

После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов:

• Sections
  
• IAT/EAT
  
• Show all
  

Из всех дисков оставьте отмеченным только системный диск (обычно C:\)

- Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.

После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.

 

Подготовьте новые логи.