Проверьте плиз комп товарища

[JIABP]

На kaspersky.ru не заходит, а KIS 7.0.1.325 был отключён человеком. Сейчас комп чекается на полную проверку, базы принёс на своей флешке от сего дня и собственно и поставил проверятся + выставил пасс от нерадивых юзверей, а я пока логи выложу. HJT, AVZ и GSI.

 

check.rar

[thyrex]

Пока проверяю логи, нужно еще это сделать

 

Загрузите GMER по одной из указанных ссылок

Gmer со случайным именем (рекомендуется), Gmer в zip-архиве (перед применением распаковать в отдельную папку)

Запустите программу (пользователям Vista запускать от имени Администратора по правой кнопке мыши).

Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No.

После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов:

• Sections
  
• IAT/EAT
  
• Show all
  

Из всех дисков оставьте отмеченным только системный диск (обычно C:\)

Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.

После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.

[snifer67]

+ к thyrex

Закройте/выгрузите все программы кроме Internet Explorer.

Отключите:

ПК от интернета/локальной сети.

 

Выполните скрипт в avz

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\Tasks\SysScan.job');
QuarantineFile('D:\DOCUME~1\D18E~1\LOCALS~1\Temp\hmafii.exe','');
QuarantineFile('D:\WINDOWS\system32\xbfzb.dll','');
QuarantineFile('D:\DOCUME~1\D18E~1\LOCALS~1\Temp\wlwikd.tmp','');
DeleteFile('D:\DOCUME~1\D18E~1\LOCALS~1\Temp\wlwikd.tmp');
DeleteFile('D:\WINDOWS\system32\xbfzb.dll');
DeleteFile('D:\DOCUME~1\D18E~1\LOCALS~1\Temp\hmafii.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

ПК перезагрузится.

 

Выполнить скрипт в AVZ.

var
 qfolder: string;
 qname: string;
begin
 qname := GetAVZDirectory + '..\Quarantine\quarantine.zip';
 qfolder := ExtractFilePath(qname);
 if (not DirectoryExists(qfolder)) then CreateDirectory(qfolder);
 CreateQurantineArchive(qname);
 ExecuteFile('explorer.exe', qfolder, 1, 0, false);
end.

Вы увидите папку с архивом. Это - карантин.

Карантин отправьте через форму http://support.kaspersky.ru/virlab/helpdesk.html . В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus"(без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Полученный ответ сообщите здесь.

Сделайте новые логи.

Изменено 16 апреля, 2010 пользователем snifer67