[thyrex]

Утилиты из правил можно скачать на любой другой машине и перенести на Ваш компьютер через флешку, например
Или запустить утилиты прямо с флешки

[okshef]

Цитата NatChu:

Подскажите, как быть в таком случае? »

Пуск (Пуск + R) - выполнить - обзор - выбор нужной программы

[NatChu]

Вот данные

[sanek_freeman]

1. Отключите интернет и локальную сеть если таковая имеется.
2. Очистите временные файлы.
   Очистите временные файлы через Пуск - Программы - Стандартные - Служебные - Очистка диска или с помощью ATF Cleaner.
   • Скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
   • Если вы используете Firefox, нажмите Firefox - Select All - Empty Selected.
   • Нажмите No, если вы хотите оставить ваши сохраненные пароли.
   • Если вы используете Opera, нажмите Opera - Select All - Empty Selected.
   • Нажмите No, если вы хотите оставить ваши сохраненные пароли.
3. Восстановление системы. Создание новой контрольной точки восстановления и очистка предыдущих.
   • Создание новой точки восстановления: Нажмите Пуск > Программы > Стандартные > Служебные > Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать.
   • Очистка всех предыдущих точек восстановления: Нажмите Пуск > Программы > Стандартные > Служебные > Очистка диска, выберите системный диск, на вкладке Дополнительно > Восстановление системы нажмите Очистить, нажмите Да для очистки всех точек восстановления, кроме последней.

* Подробнее можно прочитать в этой теме.

• Скрипт AVZ.
Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 TerminateProcessByName('c:\windows\system32\netprotdrvss');
 TerminateProcessByName('c:\windows\system32\user32.exe');
 TerminateProcessByName('d:\md.exe');
 QuarantineFile('C:\WINDOWS\system32\Drivers\uzmymjk3.sys','');
 QuarantineFile('C:\WINDOWS\system32\els.dll','');
 QuarantineFile('C:\WINDOWS\System32\tssdis.exe','');
 QuarantineFile('C:\WINDOWS\System32\polagent.dll','');
 QuarantineFile('c:\windows\system32\netprotocol.dll','');
 QuarantineFile('c:\windows\system32\netprotdrvss','');
 QuarantineFile('c:\windows\system32\user32.exe','');
 QuarantineFile('d:\md.exe','');
 QuarantineFile('F:\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx','');
 QuarantineFile('C:\huadio.tmp','');
 QuarantineFile('D:\autorun.inf','');
 QuarantineFile('F:\autorun.inf','');
 DeleteFile('F:\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx');
 DeleteFile('C:\huadio.tmp');
 DeleteFile('D:\autorun.inf');
 DeleteFile('F:\autorun.inf');
 DeleteFile('d:\md.exe');
 DeleteFile('c:\windows\system32\netprotdrvss');
 DeleteFile('c:\windows\system32\netprotocol.dll');
 DeleteFile('c:\windows\system32\user32.exe');
 DeleteService('autorun');
BC_ImportALL;
ExecuteSysClean;
ExecuteRepair(6);
ExecuteRepair(11);
ExecuteRepair(16);
BC_Activate;
RebootWindows(true);
end.

После всех процедур выполните скрипт

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин quarantine.zip Вышлите полученный файл quarantine.zip на newvirus@kaspersky.com. Результаты ответа, сообщите здесь, в теме.

Код:

>>> Подозрение на маскировку ключа реестра службы\драйвера "fqwgec"

у вас кидо, сделайте логи gmer
Загрузите GMER по одной из указанных ссылок
Gmer со случайным именем (рекомендуется), Gmer в zip-архиве (перед применением распаковать в отдельную папку)
Запустите программу (пользователям Vista запускать от имени Администратора по правой кнопке мыши).
Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No.
После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов:

• Sections
• IAT/EAT
• Show all

Из всех дисков оставьте отмеченным только системный диск (обычно C:\)
Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.
После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.

[NatChu]

Осталась проблема с загрузкой сайтов, содержащих антивирусные программы!

[iskander-k]

Попробуйте

• Скрипт AVZ.
Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.

Код:

begin
ExecuteRepair(20);
RebootWindows(true);
end.

[NatChu]

Цитата sanek_freeman:

у вас кидо, сделайте логи gmer »

Посл запуска выскочил синий экран с ошибкой и пришлось перезагружать компьютер.

[NatChu]

Цитата iskander-k:

Скрипт AVZ. »

Проблема осталась.

[NatChu]

Цитата sanek_freeman:

В результате выполнения скрипта будет сформирован карантин quarantine.zip Вышлите полученный файл quarantine.zip на newvirus@kaspersky.com. Результаты ответа, сообщите здесь, в теме. »

Здравствуйте,


autorun.inf - Worm.Win32.AutoRun.gvb
autorun_0.inf - Net-Worm.Win32.Kido.ir
jwgkvsq.vmx - Net-Worm.Win32.Kido.ih

В настоящий момент эти файлы детектируются. Пожалуйста, обновите антивирусные базы.

bcqr00001.ini, bcqr00002.ini, bcqr00003.ini, bcqr00004.ini, bcqr00005.ini, bcqr00006.ini, bcqr00007.ini, bcqr00008.ini, bcqr00009.ini, bcqr00010.ini, bcqr00011.ini, bcqr00012.ini, bcqr00013.ini, bcqr00014.ini, bcqr00015.ini, bcqr00016.ini, bcqr00017.ini, bcqr00018.ini, bcqr00019.ini, bcqr00020.ini, bcqr00021.ini, bcqr00022.ini, bcqr00023.ini, bcqr00024.ini, els.dll, huadio.tmp

Вредоносный код в файлах не обнаружен.

md.exe, user32.exe - Trojan-Ransom.Win32.Chameleon.bt
netprotdrvss - Backdoor.Win32.Buterat.ei
netprotocol.dll - Backdoor.Win32.Buterat.eh

Детектирование файлов будет добавлено в следующее обновление.

С уважением, антивирусная лаборатория