[MotherBoard]

Здравствуйте!

Создайте файл Static.bat с содержимым:

Код:

Reg EXPORT "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters" "Static_Marshrut.reg" >nul

Сохраните его и запустите двойным щелчком. Появившийся рядом файл Static_Marshrut.reg запакуйте в архив и прикрепите.

Выполните скрипт в AVZ

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('%_SYS_MOD_PATH%','');
 QuarantineFile('Srssime.sys','');
 QuarantineFile('c:\program files\plugin.exe','');
 QuarantineFile('C:\Program Files\AskSBar\bar\1.bin\ASKSBAR.DLL','');
 QuarantineFile('C:\Program Files\AskSBar\SrchAstt\1.bin\A2SRCHAS.DLL','');
 QuarantineFile('\\?\globalroot\systemroot\system32\o4oo0cf.exe','');
 QuarantineFile('c:\documents and settings\валера\application data\adsubscribe\adsubscribe.dll','');
DeleteFile('C:\Program Files\AskSBar\bar\1.bin\ASKSBAR.DLL');
 DeleteFile('C:\Program Files\AskSBar\SrchAstt\1.bin\A2SRCHAS.DLL');
 DeleteFile('c:\program files\plugin.exe');
 DeleteFile('\\?\globalroot\systemroot\system32\o4oo0cf.exe');
 DeleteFile('c:\documents and settings\валера\application data\adsubscribe\adsubscribe.dll');
 DelCLSID('{82C885EE-6B87-4D51-9EF4-0CFE9FADA900}');
DelBHO('{F0D4B231-DA4B-4daf-81E4-DFEE4931A4AA}');
 DelBHO('{0579B4B1-0293-4d73-B02D-5EBB0BA0F0A2}');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','plugin');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteRepair(20);
RebootWindows(true);
end.

Комп перезагрузится
Выполните скрипт

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин quarantine.zip. Отправьте полученный файл quarantine.zip из папки AVZ через данную форму(http://support.kaspersky.ru/virlab/helpdesk.html). В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus" (без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Полученный ответ сообщите здесь.

Пофиксьте в HJT

Код:

R3 - URLSearchHook: (no name) - {0579B4B6-0293-4d73-B02D-5EBB0BA0F0A2} - C:\Program Files\AskSBar\SrchAstt\1.bin\A2SRCHAS.DLL
R3 - URLSearchHook: (no name) -  - (no file)
F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,\\?\globalroot\systemroot\system32\dlgqlfq.exe,\\?\globalroot\systemroot\system32\TdjlFY2.exe,\\?\globalroot\systemroot\system32\Cas1lNY.exe,\\?\globalroot\systemroot\system32\MgC5Nlx.exe,\\?\globalroot\systemroot\system32\o4oO0Cf.exe,
O2 - BHO: Ask Search Assistant BHO - {0579B4B1-0293-4d73-B02D-5EBB0BA0F0A2} - C:\Program Files\AskSBar\SrchAstt\1.bin\A2SRCHAS.DLL
O2 - BHO: Ask Toolbar BHO - {F0D4B231-DA4B-4daf-81E4-DFEE4931A4AA} - C:\Program Files\AskSBar\bar\1.bin\ASKSBAR.DLL
O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)
O3 - Toolbar: Ask Toolbar - {F0D4B239-DA4B-4daf-81E4-DFEE4931A4AA} - C:\Program Files\AskSBar\bar\1.bin\ASKSBAR.DLL
O20 - Winlogon Notify: reset5 - reset5.dll (file missing)
O20 - Winlogon Notify: spoowstd - C:\WINDOWS\

Повторите логи!
ОС подлинная или пиратка???

[Sunforger]

Такс, проблема решилась - спасибо!!!
Sunforger, Sunforger,

Цитата MotherBoard:

В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus" »

Если честно не понял, что тут нужно сделать. Просто в той строке написать virus? Или нужно сделать пароль к архиву карантин? и какой указать продукт Касперского, который я использую - AVZ? В общем пока не выслал.



В HJT пофиксил, кроме строк начинающихся с 02 - у меня тех двух строк не было.

Хочу ещё сказать, что 4 месяца назад у меня была такая же проблема. И тоже появились странные файлы в систем32. Но тогда я их просто удалил и ничего про них не сказал и больше их не видел. Вот тема
http://forum.oszone.net/thread-167110.html

ОС - подлинная, корпоративная...

Логи как и просили повторил.

[MotherBoard]

Профиксьте в HJT

Код:

O16 - DPF: {64311111-1111-1121-1111-111191113457} - file://c:\eied_s7.cab

В остальном по логу чисто...

Цитата Sunforger:

ОС - подлинная, корпоративная... »

А пользуемся ломалкой! Не надо нас так пугать....
Проверим???

проверка валидности Windows с помощью MGADiag(http://go.microsoft.com/fwlink/?linkid=52012)

Цитата Sunforger:

"virus" »

без кавычек...)
Продукт можете и AVZ написать

а насчёт прошлой темы.. странные файлы вы удалили, а хелперы следы подчистили...
Потому что все файлы - либо легал, либо вирь - одно из двух...

[Sunforger]

ОС ставилась сверху на ломанную, естественно без дефрагментации и прочего. Может что-то осталось.. Но заходить на сайт майкрософта и там проверять такие вещи мне чёт не хочется

Цитата MotherBoard:

без кавычек...) Продукт можете и AVZ написать »

Да я не понял значения слова- пароль на архив.
В общем выслал им архив, в строке "Подробное описание возникшей ситуации:" написал просто слово virus. Как получу ответ, сразу отпишусь, Поэтому пока не буду отмечать проблему решённой.

Цитата MotherBoard:

а насчёт прошлой темы.. странные файлы вы удалили, а хелперы следы подчистили... Потому что все файлы - либо легал, либо вирь - одно из двух... »

Файл 100кб, название типа y5gM8g1. Дата создания в день, когда у меня появилась эта проблема. Легалом, ну никак не пахнет. В прошлый раз я их удалил, сейчас пока не трогаю.
Может мне их заархивировать пока на время? А то раздражают

[MotherBoard]

А расширение... Какое точно имя у файла с раширением?
напишите полный путь
А насчёт подлинности ОС, у вас программка стоит для взлома как таковых вещей, потому и спросила....

[Sunforger]

Размещение: C:\WINDOWS\system32


XlS12sU.exe
y5gM8g1.exe
NOLcnCi.exe
2sE43F8.exe

Вот название этих четырёх, они все скрытые. Нажал правой кнопкой, свойства - в описании и дополнительных сведениях тоже всякий бред написан.
Конкретно каждый файл просканировал нодом, он ничего не обнаружил.

Цитата:

Здравствуйте, Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит антивирус с последними обновлениями. Письмо будет передано на рассмотрение вирусному аналитику. o4oo0cf.exe Файл в процессе обработки. С уважением, Лаборатория Касперского

Вот пока прислали ответ.

[thyrex]

Скачайте RSIT или отсюда. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

[Sunforger]

вот

[thyrex]

Выполните скрипт в AVZ

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\y5gM8g1.exe','');
 QuarantineFile('C:\WINDOWS\system32\XlS12sU.exe','');
 QuarantineFile('C:\WINDOWS\system32\2sE43F8.exe','');
 QuarantineFile('C:\WINDOWS\system32\NOLcnCi.exe','');
 DeleteFile('C:\WINDOWS\system32\NOLcnCi.exe');
 DeleteFile('C:\WINDOWS\system32\2sE43F8.exe');
 DeleteFile('C:\WINDOWS\system32\XlS12sU.exe');
DeleteFile('C:\WINDOWS\system32\y5gM8g1.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteREpair(19);
ExecuteREpair(20);
RebootWindows(true);
end.

Компьютер перезагрузится.

Выполните скрипт в AVZ

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

quarantine.zip из папки AVZ отправьте через форму http://support.kaspersky.ru/virlab/helpdesk.html. В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus"(без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Полученный ответ сообщите здесь.

Сделайте новые логи RSIT