[shestale]

http://www.cyberforum.ru/viruses/thread1983612.html - эту тему закрыл.
Наша рекомендация при файловом заражении:
1. Обязательно на НЕ зараженном ПК скачайте образ Kaspersky Rescue Disk, и на том же, не зараженном ПК запишите загрузочный диск.
Пролечите свою систему с подключенными съемными накопителями, если останется хоть один зараженный файл - проблема не решится.
2. После лечения подготовьте новый CollectionLog.

[Voxell]

Цитата shestale:

После лечения подготовьте новый CollectionLog »

Пролечился в два прохода.

[shestale]

Цитата Voxell:

Пролечился в два прохода. »

Пролечились именно как написано выше в п.1?
К серверу другие компьютеры по сети подключены?

[Voxell]

Цитата shestale:

К серверу другие компьютеры по сети подключены? »

носители подключал,
Интернет отсоединял физически., кроме случаев, когда надо подгружать базы.

[shestale]

Цитата shestale:

Пролечились именно как написано выше в п.1? »

Не ответили...

Цитата Voxell:

носители подключал, »

А вы уверены что они чистые?

[Voxell]

Цитата shestale:

А вы уверены что они чистые? »

Проверка выполнялась как съемных дисков, так и несъемных, то есть полностью
Съемные носители после проверки изъяты и извлечены из обесточенного оборудования.
Ку да уж точнее?
Файлы заражаются при вкл. WIN.
А перед этим при проверке Касперский с лайва после сканирования гордо отрепортил что по нулям...
Ну хорошо, грузим ось, загружаемся, и тут же перегружаемся и снова в лайв на проверку...
опять находим...
опять лечимся....

[regist]

Здравствуйте!

1) Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:

1. Запустите AVZ.
2. Выполните обновление баз (Меню Файл - Обновление баз)
3. Закройте все приложения, и запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины)
4. В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт №8 ("VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
5. Закачайте полученный архив, как описано на этой странице.
6. Если размер архива превышает 100 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: RGhost, Zippyshare, My-Files.RU, karelia.ru, Ge.tt или WebFile) и укажите ссылку на скачивание в своём следующем сообщении.

2)
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:

begin
 ClearQuarantineEx(true);
 QuarantineFile('c:\program files (x86)\1cv82\8.2.19.83\bin\ragent.exe', '');
 QuarantineFile('C:\Program Files\Microsoft SQL Server\MSRS10_50.MSSQLSERVER\Reporting Services\ReportServer\bin\ReportingServicesService.exe', '');
 QuarantineFile('C:\Program Files\Microsoft SQL Server\MSSQL10_50.MSSQLSERVER\MSSQL\Binn\SQLAGENT.EXE', '');
 QuarantineFile('C:\Program Files\Microsoft SQL Server\90\Shared\sqlwriter.exe', '');
 QuarantineFile('C:\Program Files\Adaptec\Adaptec Storage Manager\StorServ.exe', '');
 QuarantineFile('C:\Windows\system32\dllhost.exe', '');
 QuarantineFile('C:\Windows\System32\msdtc.exe', '');
 QuarantineFile('C:\Windows\System32\taskmgr.exe', '');
 QuarantineFile('c:\windows\syswow64\werfault.exe', '');
 QuarantineFile('C:\Windows\System32\wbem\WMIADAP.exe', '');
 QuarantineFile('C:\Windows\System32\msdtc.exe', '');
 QuarantineFile('C:\Windows\System32\snmp.exe', '');
 QuarantineFile('C:\Windows\system32\SLsvc.exe', '');
 QuarantineFile('C:\Windows\System32\msdtc.exe', '');
 QuarantineFile('C:\Windows\system32\RSoPProv.exe', '');
 QuarantineFile('C:\Windows\System32\snmp.exe', '');
 QuarantineFile('C:\Windows\System32\vds.exe', '');
 QuarantineFile('C:\Program Files\1cv82\8.2.19.83\bin\ragent.exe', '');
 QuarantineFile('C:\Program Files\Adaptec\Adaptec Storage Manager\archwprv.exe', '');
 QuarantineFile('C:\Windows\Microsoft.NET\Framework64\v4.0.30319\aspnet_state.exe', '');
 QuarantineFile('C:\Windows\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe', '');
 QuarantineFile('C:\Windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe', '');
 QuarantineFile('C:\Windows\Microsoft.NET\Framework64\v4.0.30319\mscorsvw.exe', '');
 QuarantineFile('C:\Program Files\Microsoft SQL Server\100\Shared\SQLADHLP.EXE', '');
 QuarantineFile('C:\Windows\SysWow64\perfhost.exe', '');
 QuarantineFile('C:\Windows\Microsoft.NET\Framework64\v4.0.30319\WPF\WPFFontCache_v0400.exe', '');
 QuarantineFile('C:\Windows\System32\winlogon.exe', '');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
end.

после выполнения скрипта компьютер перезагрузится.


Файл quarantine.zip из папки AVZ отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения. с указанием пароля: virus в теле письма.

[Voxell]

Цитата regist:

1) Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ: »

выполнено.

Цитата regist:

2) Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО. Выполните скрипт в АВЗ (Файл - Выполнить скрипт): »

выполнено.

[regist]

Ожидайте.