Есть подозрения

SolarSpark · Отправлено: **11:39, 08-04-2011** | #2

а чего это вы утилиту из temp запускали?

Отключите:
Антивирус/Файерволл

AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\windows\temp\ts_730c.tmp','');
DeleteFile('c:\windows\temp\ts_730c.tmp');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится!

После перезагрузки выполните такой скрипт:

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин.Отправьте c:\quarantine.zip при помощи этой формы
В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus" (без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Результаты ответа, сообщите здесь, в теме.

Пофиксить в HijackThis следующие строчки:

Код:

	
R3 - URLSearchHook: (no name) - - (no file)
O13 - Gopher Prefix:

Сделайте повторные логи AVZ + RSIR

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. http://data.mbamupdates.com/tools/mbam-rules.exe Загрузить обновление MBAM

homaykle · Отправлено: **20:57, 08-04-2011** | #3

maniy77, папка temp не системная

это моя времянная
На C:\ архив карантина не сформировался, отправил тот, что сформировался в корне папки avz. Кроме avz00001.dta и ini файлов в архиве пусто, не знаю должо ли было попасть что- то еще... Результатов проверки еще нет. AVZ при проверке нашел какой- то maleware- не знаю пофиксил ли.
HijackThis пофиксил эти 2 строчки.

SolarSpark · Отправлено: **22:03, 08-04-2011** | #4

вот этот файлик закиньте на http://www.virustotal.com

Код:

c:\Windows\write.exe

ссылку на результат приведите в своем следующем сообщении

ага, пропустила

Код:

C:\Windows\Installer\a8592a.msi
C:\Program Files\Microsoft SQL Server\MSSQL10_50.EDUSERV\MSSQL\Binn\SQLIOSIM.COM

эти файлы тоже на http://www.virustotal.com проверьте

Отключите:
Антивирус/Файерволл

AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.

Код:

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Program Files\Microsoft SQL Server\MSSQL10_50.EDUSERV\MSSQL\Binn\SQLIOSIM.COM','');
QuarantineFile('C:\Windows\Installer\a8592a.msi','');
DeleteFile('C:\Windows\Installer\a8592a.msi');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится!

После перезагрузки выполните такой скрипт:

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин.Отправьте quarantine.zip при помощи этой формы
В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus" (без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Результаты ответа, сообщите здесь, в теме.

повторите лог AVZ

homaykle · Отправлено: **01:22, 09-04-2011** | #5

Я так понимаю можно жить спокойно?

Только вот menedgement studio так и не ставится...

SolarSpark · Отправлено: **09:55, 09-04-2011** | #6

Цитата homaykle:

Только вот menedgement studio так и не ставится... »

ну почему же? я вижу ваш Microsoft SQL Server в процессах и в службах, все запущено и работает.
вижу папки и файлы от программы. Значит встала, возможно криво, пробуйте удалить с обязательной чисткой реестра спецдеинсталляторами (Revo Uninstaller) и установкой заново.

homaykle · Отправлено: **14:41, 09-04-2011** | #7

maniy77, не sql server встал, только вот бывший интерпрайз менеджер вставать не хотел. Помогло удалиние из компонентов dotnet`a и его установка заново.
maniy77, Спасибо, сейчас все хорошо.

SolarSpark · Отправлено: **20:20, 09-04-2011** | #8

Создайте новую контрольную точку восстановления и очистите заражённую:
1. Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно-Восстановление системы нажмите Очистить
2. Нажмите Пуск- Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать.
Очистите временные файлы через Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner

скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
если вы используете Firefox, нажмите Firefox - Select All - Empty Selected
нажмите No, если вы хотите оставить ваши сохраненные пароли
если вы используете Opera, нажмите Opera - Select All - Empty Selected
нажмите No, если вы хотите оставить ваши сохраненные пароли

Рекомендуем для предотвращения заражения:
- не работать за компьютером с правами администратора
- при использовании Internet Explorer отключить в нем ActiveX и настроить безопасность (рекомендую использовать Firefox c плагином NoScript)
- регулярно устанавливать обновления windows и обновлять антивирусные базы.