[Ninel]

по проводнику- диск С--> WINDOWS--> папка system32
и еще с помощью поиск файлы и папки
теперь у меня появляется - 1) Generic Host Process for Win32 Services- обнаружена ошибка. Приложение будет закрыто. Приносим извинения за неудобства........
2) svchost.exe- Ошибка приложения
Инструкция по адресу "0х001f1cb0" обратилась к памяти по адресу "0х48544950". Память не может быть "written"
ОК-завершение приложения
Отмена-откладка приложения

Что это такое?!

[thyrex]

Попробуйте поискать самим AVZ. Сервис - Поиск файлов по диску
По поводу ошибки. Сделайте лог gmer После экспресс-проверки на вкладке Malware/Rootkit справа отметьте системный диск и нажмите Scan. После завершения проверки сохраните лог, нажав Save, и прикрепите его к сообщению.
Вполне возможно, что у Вас kido. Сделайте все, как советуют
здесь

[Ninel]

нет, AVZ тоже не нашел файл C:\WINDOWS\system32\msr.exe
в конце проверки gmer было написано ---> GMER has found system modification caused by ROOTKIT activity

[Ninel]

мне нужно выполнять? ---->

Цитата thyrex:

Вполне возможно, что у Вас kido. Сделайте все, как советуют здесь »

может у меня все таки нет kido? я не знаю как это выполнять

[thyrex]

Выполните скрипт в AVZ

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system\services.exe','');
 DeleteFile('C:\WINDOWS\system\services.exe');
BC_ImportDeletedList;
ExecuteSysClean;
 BC_DeleteFile('C:\WINDOWS\system\services.exe');
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

Выполнить скрипт в AVZ

Код:

begin	
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Файл quarantine.zip отправьте на thyrex2002@tut.by, в письме укажите ссылку на тему.

Повторите логи AVZ, HiJack, gmer

Добавлено: C:\WINDOWS\system\services.exe - Trojan.Win32.Buzus.asqt по классификации Касперского. Причем из новинок скорее всего (9/40)

[Ninel]

повторила логи
спасибо

[Pili]

Ninel,
Предварительно, для предотвращения заражения в ходе лечения, отключите автозапуск со съемных носителей, включите брандмауэр windows и уберите в исключениях брандмауэра общий доступ к файлам и принтерам.

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 SetServiceStart('sysdrv32', 4);
 QuarantineFile('sysdrv32.sys','');
 QuarantineFile('C:\WINDOWS\system32\msr.exe','');
 QuarantineFile('C:\WINDOWS\system32\drivers\sysdrv32.sys','');
 QuarantineFile('C:\WINDOWS\system\services.exe','');
 DeleteFile('c:\windows\system\services.exe');
 DeleteFile('C:\WINDOWS\system32\drivers\sysdrv32.sys');
 DeleteFile('C:\WINDOWS\system32\msr.exe');
 DeleteFile('sysdrv32.sys');
 DeleteService('sysdrv32');
 DeleteService('msrpxy');
DeleteFileMask('%Tmp%', '*.*', true);
BC_ImportDeletedList;
ExecuteSysClean;
 BC_DeleteSvc('sysdrv32');
 BC_DeleteSvc('msrpxy');
BC_Activate;
RebootWindows(true);
end.

Очистите временные файлы через Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner
- скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
- если вы используете Firefox, нажмите Firefox - Select All - Empty Selected
- нажмите No, если вы хотите оставить ваши сохраненные пароли
- если вы используете Opera, нажмите Opera - Select All - Empty Selected
- нажмите No, если вы хотите оставить ваши сохраненные пароли

C:\Program Files\CSX\CleanSpaceX.exe.exe - знакомо? проверьте на всякий случай на virustotal.com
Проверьтесь по инструкции, если утилита kidokiller не поможет, проверьтесь другими утилитами см. здесь, не забудьте установить обновления.

Скачайте SDFix здесь или здесь, загрузитесь в безопасном режиме, запустите утилиту (запустить RunThis.bat из папки SDFix - подтвердить, нажав "Y"), после окончания сканирования скопируйте (Ctrl+A, Ctrl+C) текст из C:\Report.txt и вставьте (Ctrl+V) в следующее сообщение, если текст не уместится в одном сообщении, продолжите его в следующем или запакуйте файл C:\Report.txt и прикрепите к сообщению
Описание SDFix есть здесь и здесь

Скачайте Malwarebytes' Anti-Malware здесь, здесь, здесь или здесь. Установите, обновите базы, выберите Perform Full Scan (Провести полную проверку), нажмите Scan (Проверить), после сканирования выберите Ок и далее Show Results (Показать результаты), нажмите "Remove Selected" (удалить выделенные, внимание - проверьте то, что удаляете). После удаления откройте лог и скопируйте в сообщение. Логи сканирования можно посмотреть во вкладке Logs (Отчеты), выбрав отчет и нажав кнопку Open (Открыть).

Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

Установите Recovery Console по инструкции (на англ.яз) - how-to-use-combofix и здесь - скачайте установочный файл для своей ОС (например Windows XP с пакетом обновления 2 (SP2) - для Windows XP SP3 использовать этот же файл) на рабочий стол, закройте все остальные приложения и мышкой перенесите установочный файл на иконку ComboFix и установите Microsoft Recovery Console. Доп. см. Установочные диски для установки с гибкого диска.
После установки консоли восстановления программа предложит запустить сканирование, подтвердите, нажав Yes.
Когда процесс сканирования завершится, скопируйте (Ctrl+A, Ctrl+C) текст из C:\ComboFix.txt и вставьте (Ctrl+V) в следующее сообщение если текст не уместится в одном сообщении, продолжите его в следующем или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.

Сделайте новые логи virusinfo_syscheck.zip (2-ой стандартный скрипт AVZ) и hijackthis

[Ninel]

этого файла нет--C:\Program Files\CSX\CleanSpaceX.exe.exe. Искала через поиск, выполнить, azv.

Как это выполнит?? Чтотакое патчи? как их установить?
удалить Net-Worm.Win32.Kido с помощью KidoKiller:
1) Обязательно установите все 3 патча от MS:
http://www.microsoft.com/technet/sec.../MS08-067.mspx
http://www.microsoft.com/technet/sec.../ms08-068.mspx
http://www.microsoft.com/technet/sec.../ms09-001.mspx

Так же желательно установить ВСЕ обновления для Вашей версии Windows с сайта: http://windowsupdate.microsoft.com/

2) Отключите автозапуск с помощью утилиты,которую нам предоставил Paul. Скачать ее можно отсюда: http://forum.kaspersky.com/index.php......st&id=52212

3) Если используется KAV или другой антивирус без сетевого экрана, то необходимо установить сторонний файерволл или включить встроенный в Windows брандмауер.

[Pili]

Цитата Ninel:

Как это выполнит?? »

По порядку.

Цитата Ninel:

Чтотакое патчи? »

Патч — Википедия

Цитата Ninel:

как их установить? »

Зайдите на http://windowsupdate.microsoft.com/ и установите то, что предложит WU

Цитата Ninel:

этого файла нет »

Папка C:\Program Files\CSX\ есть? Попробуйте посмотреть любым файловым менеджером, например FAR Manager