[thyrex]

Пофиксите в hijack

Код:

F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,C:\WINDOWS\system32\b0ad51e2.exe,\\?\globalroot\systemroot\system32\N3iYKcr.exe,C:\WINDOWS\system32\4ed59b4.exe,

Выполните скрипт в AVZ

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\drivers\protect.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Wincc02.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Wincs37.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Windm06.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winfh83.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Wingd26.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Wingh74.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winhp68.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winjd04.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winjo28.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winjo63.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winkh77.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winlq81.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winox41.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winpn83.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winsq26.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winwj74.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winys63.sys','');
 QuarantineFile('C:\WINDOWS\system32\b0ad51e2.exe','');
 QuarantineFile('C:\WINDOWS\system32\4ed59b4.exe','');
 QuarantineFile('C:\Program Files\plugin.exe','');
 DeleteFile('C:\Program Files\plugin.exe');
 DeleteFile('C:\WINDOWS\system32\4ed59b4.exe');
 DeleteFile('C:\WINDOWS\system32\b0ad51e2.exe');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winys63.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winwj74.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winsq26.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winpn83.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winox41.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winlq81.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winkh77.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winjo63.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winjo28.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winjd04.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winhp68.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Wingh74.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Wingd26.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winfh83.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Windm06.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Wincs37.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Wincc02.sys');
 DeleteFile('C:\WINDOWS\system32\drivers\protect.sys');
DeleteFile('C:\Program Files\Common Files\Target Marketing Agency\TMAgent\tmagent.dll');
DelBHO('{35A6E2B1-27A9-47D2-913C-559E1EF1D034}');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','plugin');
DeleteService('Winys63');
 DeleteService('Winwj74');
 DeleteService('Winsq26');
 DeleteService('Winpn83');
 DeleteService('Winox41');
 DeleteService('Winlq81');
 DeleteService('Winkh77');
 DeleteService('Winjo63');
 DeleteService('Winjo28');
 DeleteService('Winjd04');
 DeleteService('Winhp68');
 DeleteService('Wingh74');
 DeleteService('Wingd26');
 DeleteService('Winfh83');
 DeleteService('Windm06');
 DeleteService('Wincs37');
 DeleteService('Wincc02');
 DeleteService('protect');
 DeleteFileMask('C:\Program Files\Common Files\Target Marketing Agency', '*.*', true);
DeleteDirectory('C:\Program Files\Common Files\Target Marketing Agency');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(20);
RebootWindows(true);
end.

Компьютер перезагрузится.

Выполните скрипт в AVZ

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

quarantine.zip из папки AVZ отправьте через форму http://support.kaspersky.ru/virlab/helpdesk.html. В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus"(без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Полученный ответ сообщите здесь.

Сделайте новые логи

[gst]

Выполнила. Спасибо. Сайты открываются. Вот новые логи.

[thyrex]

Выполните скрипт в AVZ

Код:

begin
BC_DeleteSvc('Winys63');
 BC_DeleteSvc('Winwj74');
 BC_DeleteSvc('Winsq26');
 BC_DeleteSvc('Winpn83');
 BC_DeleteSvc('Winox41');
 BC_DeleteSvc('Winlq81');
 BC_DeleteSvc('Winkh77');
 BC_DeleteSvc('Winjo63');
 BC_DeleteSvc('Winjo28');
 BC_DeleteSvc('Winjd04');
 BC_DeleteSvc('Winhp68');
 BC_DeleteSvc('Wingh74');
 BC_DeleteSvc('Wingd26');
 BC_DeleteSvc('Winfh83');
 BC_DeleteSvc('Windm06');
 BC_DeleteSvc('Wincs37');
 BC_DeleteSvc('Wincc02');
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

Сделайте новые логи AVZ

Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет, пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, файл C:\ComboFix.txt прикрепите к сообщению.
Примечание: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

[gst]

Прилагаю новые логи после выполненного скрипта. Не удалось запустить ComboFix, блокируется Drweb-ом. Простой "Выход" из контекстного меню в правом нижнем углу на рабочем столе не помог. Уточню, что у меня на компе стартует Server DrWeb-а для всех рабочих станций.
Можно ли запустить ComboFix в Безопасном режиме.
Спасибо. И.

[thyrex]

Попробуйте в безопасном режиме сделать лог.

[gst]

День добрый!
Сделала лог в безопасном режиме, оставляла на ночь. Утром обнаружила перезагруженный комп и сообщение о сохранении файл-протокола, файл прилагаю.
Спасибо. И.

[thyrex]

Пуск - Выполнить - regedit

Доберитесь до ветки

Код:

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]

Найдите в правой части параметр DcomLaunch.
Удалите из его значений Netprotocol

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.

Код:

KillAll::

File::

Driver::
Ltvh68

Folder::

Registry::

FileLook::

DirLook::

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.

[gst]

День добрый!
Кооректировку реестра выполнила, создала файл, загрузилась в Безопасный режим, наложила файл на значок утилиты ComboFix.exe, она запустилась, выдала 2 ругательства на DrWeb, но продолжила свою работу, протокол прилагаю.

[thyrex]

Плохого не видно

Запакуйте, пожалуйста, папку C:\Qoobox\Quarantine с паролем virus и пришлите на thyrex2002<at>tut.by (at=@) с указанной ссылкой на тему.

Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду Combofix /Uninstall, нажмите кнопку "ОК"


Скачайте OTCleanIt или с зеркала, запустите, нажмите Clean up

Установите SP3 (может потребоваться активация) + все новые патчи
Установите Internet Explorer 8 (даже если им не пользуетесь)