[iskander-k]

1. Отключите интернет и локальную сеть если таковая имеется.
2. Очистите временные файлы.
   Очистите временные файлы через Пуск - Программы - Стандартные - Служебные - Очистка диска или с помощью ATF Cleaner.
   • Скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
   • Если вы используете Firefox, нажмите Firefox - Select All - Empty Selected.
   • Нажмите No, если вы хотите оставить ваши сохраненные пароли.
   • Если вы используете Opera, нажмите Opera - Select All - Empty Selected.
   • Нажмите No, если вы хотите оставить ваши сохраненные пароли.
3. Восстановление системы. Создание новой контрольной точки восстановления и очистка предыдущих.
   • Создание новой точки восстановления: Нажмите Пуск > Программы > Стандартные > Служебные > Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать.
   • Очистка всех предыдущих точек восстановления: Нажмите Пуск > Программы > Стандартные > Служебные > Очистка диска, выберите системный диск, на вкладке Дополнительно > Восстановление системы нажмите Очистить, нажмите Да для очистки всех точек восстановления, кроме последней.

* Подробнее можно прочитать в этой теме.

• HiJackThis. Нужно пофиксить эти строки в HiJackThis. Выставив галочки напротив этих пунктов и нажмите кнопку Fix Checked. Как пофиксить в HijackThis

Код:

O4 - HKLM\..\Run: [Windows Data Serivce] system32.exe
O4 - HKLM\..\Run: [NetworkShareSessionManager] C:\WINDOWS\system32\nssm.exe
O21 - SSODL: UpdateCheck - {ED8A27E1-4A1D-4518-BBCC-7C65DC07E90E} - (no file)

• Скрипт AVZ.
Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 TerminateProcessByName('c:\windows\system32\nssm.exe');
 TerminateProcessByName('c:\windows\system32.exe');
 QuarantineFile('c:\windows\system32\nssm.exe','');
 QuarantineFile('c:\windows\system32.exe','');
 QuarantineFile('c:\temp\tccpuinfo.sys','');
 QuarantineFile('d:\autorun.inf','');
 QuarantineFile('e:\autorun.inf','');
 DeleteFile('c:\windows\system32\nssm.exe');
 DeleteFile('c:\windows\system32.exe');
 DeleteFile('c:\temp\tccpuinfo.sys');
 DeleteFile('d:\autorun.inf');
 DeleteFile('e:\autorun.inf');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','NetworkShareSessionManager');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\RunServices','NetworkShareSessionManager');
 DeleteService('tccrystalcpuinfo');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteRepair(20);
RebootWindows(true);
end.

После всех процедур выполните скрипт

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин quarantine.zip. Отправьте полученный файл quarantine.zip из папки AVZ через данную форму. В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus" (без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Результаты ответа, сообщите здесь, в теме.

[Lenick]

Спасибо, сегодня отправила quarantine.zip (от [email]). Все сделала, как Вы написали!

[Drongo]

Lenick, Сделайте повторные логи и что с проблемой?

[Lenick]

Вирус остался.... там же сидит и плодит другие вирусы, их антивирус удаляет по 5-6 раз на дню! Логи сегодня сделаю!

[Lenick]

Вот логи, гадкий вирус плодит другие вирусы, грузит систему (запускает кучу процессов, загрузка ЦП =100%), если оставить интернет включенным и уйти на полчасика - все повитнет и не отвиснет - спасет только перезагрузка. Что делать??? Я отправила quarantine.zip по ссылке и получила ответ:

Здравствуйте,

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит антивирус с последними обновлениями. Письмо будет передано на рассмотрение вирусному аналитику.

autorun.inf,
autorun_0.inf

Файлы в процессе обработки.

nssm.exe,
system32.exe - Trojan.Win32.Jorik.Blazebot.i

Детектирование файлов будет добавлено в следующее обновление.

Когда будет ответ от умных людей - не знаю... С таким "гадом" в первый раз сталкиваюсь... Спрашивается, какой антивирус ставить простым смертным, если только один AVIRA обнаруживает такие вирусы, но ничего сделать с ними не может???

[Lenick]

Вот мои логи

[iskander-k]

Вы наверное флэшку после лечения вставляли ?

• Скрипт AVZ.
Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 TerminateProcessByName('c:\windows\system32\nssm.exe');
 QuarantineFile('c:\windows\system32\nssm.exe','');
 QuarantineFile('c:\windows\system\csrss.exe','');
 DeleteFile('c:\windows\system32\nssm.exe');
 DeleteFile('c:\windows\system\csrss.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','NetworkShareSessionManager');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\RunServices','NetworkShareSessionManager');
 DeleteService('nrconnmags');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Скачайте и запустите Kaspersky Virus Removal Tool 2010 http://devbuilds.kaspersky-labs.com/devbuilds/AVPTool/

инструкция http://support.kaspersky.ru/viruses/avptool2010

[Lenick]

не качается Kaspersky Virus Removal Tool 2010 ... пишет:

Forbidden.
Access to the requested resource was forbidden.


--------------------------------------------------------------------------------

httpd

[Lenick]

Флешку я не вставляла после лечения, не вставляла и после выполнения данного скрипта. Однако антивирус опять 8 висусов нашел, 6 из них удалил, а те 2 шт. TR/Patched.GR.8 опять остались. Еще вопрос, эти 6 удаленных вирусов видимо в процессе активации антивирус уже замечал, выводил мне список действий в его отношении, я каждый раз выбирала DELETE, однако, они оказались не удалены.... Почему это может быть?