[MotherBoard]

Нужна наша помощь? Нам нужны ваши логи!

[Grind]

Все есть, просто не сразу прикрепил

[MotherBoard]

Здравствуйте.
выполните скрипт:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('f:\3ad254e74664b613f8025a\wgasetup.exe','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\SjyPkt.sys','');
 QuarantineFile('C:\WINDOWS\system32\Drivers\bkload.sys','');
 QuarantineFile('c:\docume~1\max\locals~1\temp\cdrmkaun.sys','');
 QuarantineFile('c:\temp\{709277c5-3369-49c6-a605-d1648ff542f8}\fsgk.sys','');
 DeleteFile('c:\temp\{709277c5-3369-49c6-a605-d1648ff542f8}\fsgk.sys');
 DeleteFile('f:\3ad254e74664b613f8025a\wgasetup.exe');
 DeleteFile('c:\docume~1\max\locals~1\temp\cdrmkaun.sys');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Eventlog\System\F-Secure Gatekeeper','EventMessageFile');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('cdrmkaun');
BC_Activate;
 ExecuteRepair(6);
ExecuteRepair(8);
ExecuteRepair(20);
RebootWindows(true);
end.

Комп перезагрузится
выполните скрипт:

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine .zip');
end.

В результате выполнения скрипта будет сформирован карантин quarantine.zip. Отправьте полученный файл quarantine.zip из папки AVZ через данную форму(http://support.kaspersky.ru/virlab/helpdesk.html). В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus" (без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Полученный ответ сообщите здесь.

Пофиксите в HJT

Код:

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,\\?\globalroot\systemroot\system32\i605yz6.exe,\\?\globalroot\systemroot\system32\bHxXaxM.exe,
O4 - Global Startup: AutorunsDisabled

IP ваши? 0.221.10.100, 10.221.0.2 80.252.130.254 80.252.128.254
Если нет, то профиксьте..

Код:

O17 - HKLM\System\CCS\Services\Tcpip\..\{1FF7F030-95C1-4847-BE16-A5490FAA9280}: NameServer = 10.221.10.100,10.221.0.2
O17 - HKLM\System\CCS\Services\Tcpip\..\{41BCB814-1698-4D8C-9E5E-6BB1A5AFAAB6}: NameServer = 80.252.130.254 80.252.128.254

Повторите логи AVZ и HJT

Скачайте RSIT или отсюда. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

Что с проблемами?

[Grind]

Добрый день. Спасибо за помошь. После выполнения первого скрипта все вроде заработало В HJT пофиксил, ип мои, карантин отправил...

[Drongo]

Grind, Ещё один скрипт выполните

• Скачайте OTM by OldTimer и сохраните на рабочий стол.
Запустите OTMoveIt3 (в ОС Windows Vista необходимо запускать через правую кн. мыши от имени администратора)
временно выключите антивирус, firewall и другое защитное программное обеспечение. Выделите и скопируйте текст ниже (Ctrl+C)

Код:

:Processes
explorer.exe

:Services

:Files
C:\WINDOWS\system32\oaeHDdF.exe
C:\WINDOWS\system32\ZYSWtyL.exe
C:\WINDOWS\system32\UUF23AE.exe
C:\WINDOWS\system32\2fbbFoG.exe
C:\WINDOWS\system32\uA9G4Vb.exe
C:\WINDOWS\system32\1oDl4LK.exe
C:\WINDOWS\system32\JgzWzyo.exe

:Reg

:Commands
[purity]
[emptytemp]
[start explorer]
[Reboot]

В OTMoveIt3 под панелью "Paste Instructions for Items to be Moved" (под желтой панелью) вставьте скопированный текст и нажмите кнопку "MoveIt!". Выделите (Ctrl+A) и скопируйте (Ctrl+C) текст из окна под панелью "Results" (правая зеленая панель) в следующее сообщение.
Прим: Если файлы и папки не могут быть перемещены немедленно и появиться запись <deleted on reboot>, потребуется перезагрузка. После перезагрузки откройте папку "C:\_OTMoveIt\MovedFiles", найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение

После перезагрузки запустите ещё раз эту программу OTMoveIt и нажмите кнопку CleanUp!. После перезагрузки программа удалится.

[Grind]

All processes killed
========== PROCESSES ==========
No active process named explorer.exe was found!
========== SERVICES/DRIVERS ==========
========== FILES ==========
C:\WINDOWS\system32\oaeHDdF.exe moved successfully.
C:\WINDOWS\system32\ZYSWtyL.exe moved successfully.
C:\WINDOWS\system32\UUF23AE.exe moved successfully.
C:\WINDOWS\system32\2fbbFoG.exe moved successfully.
C:\WINDOWS\system32\uA9G4Vb.exe moved successfully.
C:\WINDOWS\system32\1oDl4LK.exe moved successfully.
C:\WINDOWS\system32\JgzWzyo.exe moved successfully.
========== REGISTRY ==========
========== COMMANDS ==========

[EMPTYTEMP]

User: All Users

User: Default User
->Temp folder emptied: 0 bytes
->Flash cache emptied: 41 bytes

User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33771 bytes

User: Max
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 210953919 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 39772806 bytes
->Google Chrome cache emptied: 11827974 bytes
->Apple Safari cache emptied: 11011913 bytes
->Opera cache emptied: 16340301 bytes
->Flash cache emptied: 11401 bytes

User: NetworkService
->Temp folder emptied: 149428 bytes
->Temporary Internet Files folder emptied: 564125 bytes

User: Администратор
->Temp folder emptied: 0 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 1645681 bytes
%systemroot%\System32 .tmp files removed: 17078909 bytes
%systemroot%\System32\dllcache .tmp files removed: 19046373 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 8572131 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temp folder emptied: 0 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 137106 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 322,00 mb


OTM by OldTimer - Version 3.1.12.0 log created on 06132010_172306

Files moved on Reboot...
File move failed. C:\WINDOWS\temp\hlktmp scheduled to be moved on reboot.

Registry entries deleted on Reboot...

[Drongo]

Ну что ж, хорошо, теперь если не забыли

Цитата Drongo:

После перезагрузки запустите ещё раз эту программу OTMoveIt и нажмите кнопку CleanUp!. После перезагрузки программа удалится. »

И если проблем нет, отмечайте тему решённой.

[Grind]

Спасибо огромное. Дело в том что это второй случай у меня втречи с подобным вирусом. Первый раз втретился в конце января, решил проблему так: нашел где то на форуме (возможно даже на этом) похожую проблему, там был кайкойто скрипт к avz и выполнил его, и видать все было на столько идетентично что мне это скрипт помог Хотел бы поинтересоватся каким образом этот вирус мог попасть ко мне и как я в будущем могу обезопасить себя от него?
Да кстате, после проведения всех манипуляций по поиску и уничтожению вируса, заметил что при влюченом торент-клиенте страницы стали заметно дольше грузиться, это можно какнить исправить?

[MotherBoard]

Цитата Grind:

там был кайкойто скрипт к avz и выполнил его, »

Скрипты выписаны индивидуально для каждого случая, поэтому не рекомендую баловаться, это может иметь непредсказуемые последствия...

Каким браузером пользуемся для обзора интернета?