[thyrex]

Выполните скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
StopService('abp470n5'); 
SetServiceStart('abp470n5', 4);
QuarantineFile('C:\WINDOWS\system32\drivers\pjrlt.sys','');
DeleteService('abp470n5'); 
QuarantineFile('E:\ВСЯКАЯ ФИГНЯ\.exe','');
 QuarantineFile('E:\GGXX\ggxx.exe.bak','');
 QuarantineFile('c:\docume~1\user\locals~1\temp\rwoarv.exe','');
 QuarantineFile('c:\docume~1\user\locals~1\temp\winrgekn.exe','');
 DeleteFile('c:\docume~1\user\locals~1\temp\winrgekn.exe');
 DeleteFile('c:\docume~1\user\locals~1\temp\rwoarv.exe');
 DeleteFile('E:\GGXX\ggxx.exe.bak');
 DeleteFile('E:\System Volume Information\_restore{B711D1F1-C38B-4589-8DC5-748783E6ED35}\RP374\A0388278.EXE');
 DeleteFile('E:\System Volume Information\_restore{B711D1F1-C38B-4589-8DC5-748783E6ED35}\RP375\A0392310.EXE');
 DeleteFile('E:\System Volume Information\_restore{B711D1F1-C38B-4589-8DC5-748783E6ED35}\RP375\A0395133.EXE');
 DeleteFile('E:\System Volume Information\_restore{B711D1F1-C38B-4589-8DC5-748783E6ED35}\RP376\A0405219.EXE');
 DeleteFile('E:\System Volume Information\_restore{B711D1F1-C38B-4589-8DC5-748783E6ED35}\RP376\A0408082.EXE');
 DeleteFile('E:\ВСЯКАЯ ФИГНЯ\.exe');
QuarantineFile('c:\docume~1\user\locals~1\temp\hkuow.exe','');
QuarantineFile('c:\docume~1\user\locals~1\temp\dsbjcv.exe','');
DeleteFile('c:\docume~1\user\locals~1\temp\dsbjcv.exe');
DeleteFile('c:\docume~1\user\locals~1\temp\hkuow.exe');
DeleteFile('C:\WINDOWS\system32\drivers\pjrlt.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('abp470n5');
BC_Activate;
ExecuteRepair(6);
ExecuteRepair(11);
ExecuteRepair(17);
RebootWindows(true);
end.

DNS ваши? NameServer = 87.103.161.61 62.33.133.2
Если нет, то пофиксите в HiJackTyis

Код:

O17 - HKLM\System\CCS\Services\Tcpip\..\{0C6CD478-C9B2-497B-8615-F9A26DB816FA}: NameServer = 87.103.161.61 62.33.133.2
O17 - HKLM\System\CS1\Services\Tcpip\..\{0C6CD478-C9B2-497B-8615-F9A26DB816FA}: NameServer = 87.103.161.61 62.33.133.2
O17 - HKLM\System\CS2\Services\Tcpip\..\{0C6CD478-C9B2-497B-8615-F9A26DB816FA}: NameServer = 87.103.161.61 62.33.133.2

Логи повторить

thyrannosaurus, с карантином что делать?

[thyrex]

А ничего пока. Уж не знаю, принято ли отправлять его на этом форуме на newvirus@kaspersky.com. Я пока не любитель ковыряться в зараженных файлах. Что с проблемами?

[Severny]

Цитата thyrannosaurus:

Уж не знаю, принято ли отправлять его на этом форуме »

Принято.

[thyrex]

Ну раз принято тогда
D_Master, выполните скрипт

Код:

begin   
CreateQurantineArchive(GetAVZDirectory+'virus.zip');  
end.

Отправьте файл virus.zip из папки AVZ на newvirus@kaspersky.com В теле письма сообщите, что пароль на архив "virus" без кавычек. Когда придет ответ, перескажите его своими словами.

Карантин отправил, прикрепляю новые логи.

Файл E:\ВСЯКАЯ ФИГНЯ\.exe я из карантина удалил по трём причинам:
1. Его размер - 70 мегабайт.
2. Это SFX-архив
3. Архив абсолютно чистый, в нем находятся карты для Counter-Strike.

[akok]

TeamViewer Remote Control - сами ставили?

Скачайте Icesword
Запустите программу.
Внизу слева выберите меню File.
Появится аналог проводника. Найдите в нем файл руткита:
C:\WINDOWS\system32\drivers\pjrlt.sys
Нажмите по нему правой кнопкой мыши и выберите force delete.
На запрос потверждения ответьте "да".
Перезагрузите компьютер.


AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 SetServiceStart('abp470n5', 4);
 QuarantineFile('C:\WINDOWS\system32\drivers\pjrlt.sys','');
 QuarantineFile('c:\docume~1\user\locals~1\temp\yagv.exe','');
 QuarantineFile('c:\docume~1\user\locals~1\temp\winabsj.exe','');
 DeleteFile('c:\docume~1\user\locals~1\temp\winabsj.exe');
 DeleteFile('c:\docume~1\user\locals~1\temp\yagv.exe');
 DeleteFile('C:\WINDOWS\system32\drivers\pjrlt.sys');
 DeleteService('abp470n5');
 BC_ImportALL;
 ExecuteRepair(6);
 BC_Activate;
 ExecuteSysClean;
 RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Полученный архив отправьте на akok<at>pisem.net с указанной ссылкой на тему. (at=@)

Скачайте Malwarebytes' Anti-Malware, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - нажмите "Remove Selected" (удалить выделенные). Откройте лог и скопируйте в сообщение.

Скачайте RSIT или отсюда. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

И повторите логи AVZ

Ваш провайдер?

Цитата:

62.33.133.0 - 62.33.133.255 (IR000879) ElsvyazBuryatia, Ulan-Ude, Russia Россия

Цитата akok:

TeamViewer Remote Control - сами ставили? »

Да, компьютер не мой - логи делаем через ТимВивер.

Цитата akok:

Ваш провайдер? »

Да, Бурятское подразделение Сибирьтелекома.

Логи будут чуть позже. От Касперского ответ ещё не пришел.

Новые логи. Ответ из ЛК так и не пришел. Файл C:\WINDOWS\system32\drivers\pjrlt.sys Icesword не нашел.