[Drongo]

teylor2007, Приветы.

Выполните рекомендации и прикрепите к следующему сообщению полученные логи.

А также сделайте ещё лог gmer.

Загрузите GMER по одной из указанных ссылок
Gmer со случайным именем (рекомендуется), Gmer в zip-архиве (перед применением распаковать в отдельную папку)
Запустите программу (пользователям Vista запускать от имени Администратора по правой кнопке мыши).
Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No.
После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов:

• Sections
• IAT/EAT
• Show all

Из всех дисков оставьте отмеченным только системный диск (обычно C:\)
Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.
После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.

Итого, у вас будет четыре лога.

[teylor2007]

понял,как только сделаю все процедуры - выложу логи

[Drongo]

Ок. Ждём. Только прикрпите архив не к первому комменту, а следом за моим. Потому что потом может вызвать путаницу, уже было такое.

[teylor2007]

Уважаемый модератор!

Вчера весь вечер с листиком в руке сканировал свой компьютер и системный диск в частности.
3 лога было получено,но как только я начал работать с GMER - система внезапно прекратила работу,точнее выключился системный диск. Хотя было видно что он успел найти 3 чужеродных процесса - bgzktt, ugxlghvmn, ybgeg. Одни названия чего стоят. Причем GMER даже нашел их записи в реестре. Записи эти не удалялись. С каждой перезагрузкой всякой нечисти вроде 78.exe и т.п. в папаке system 32 становилось все больше и Avira находилась в состоянии постоянного сканирования.
В общем настоящая "война миров"
Благо что у меня сохранились акронисовские архивы для восстановления системы - восстановил диск с переписыванием секторов и разделов. Правда пришлось "откатится во времени " на полгода по состоянию системы
В связи с этим у меня вопрос - избавят ли меня эти меры от вируса и как впредь предохраняться от этой заразы?

[teylor2007]

выкладываю файлы,которые успел получить

[thyrex]

Выполните скрипт в AVZ

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\wndrive32.exe','');
 QuarantineFile('C:\WINDOWS\system32\64.exe','');
 QuarantineFile('C:\WINDOWS\system32\70.exe','');
 QuarantineFile('C:\WINDOWS\system32\06.scr','');
 QuarantineFile('C:\WINDOWS\system32\68.scr','');
 QuarantineFile('C:\WINDOWS\system32\57.exe','');
 QuarantineFile('C:\WINDOWS\system32\12.exe','');
 QuarantineFile('C:\WINDOWS\system32\60.exe','');
 QuarantineFile('C:\WINDOWS\system32\14.exe','');
 QuarantineFile('C:\WINDOWS\system32\84.scr','');
 QuarantineFile('C:\WINDOWS\system32\36.exe','');
 QuarantineFile('C:\WINDOWS\system32\53.exe','');
 QuarantineFile('C:\WINDOWS\system32\23.exe','');
 QuarantineFile('C:\RECYCLER\S-1-5-21-6129735039-7562777985-703155504-1029\syscr.exe','');
 DeleteFile('C:\RECYCLER\S-1-5-21-6129735039-7562777985-703155504-1029\syscr.exe');
 DeleteFile('C:\WINDOWS\system32\23.exe');
 DeleteFile('C:\WINDOWS\system32\53.exe');
 DeleteFile('C:\WINDOWS\system32\36.exe');
 DeleteFile('C:\WINDOWS\system32\84.scr');
 DeleteFile('C:\WINDOWS\system32\14.exe');
 DeleteFile('C:\WINDOWS\system32\60.exe');
 DeleteFile('C:\WINDOWS\system32\12.exe');
 DeleteFile('C:\WINDOWS\system32\57.exe');
 DeleteFile('C:\WINDOWS\system32\68.scr');
 DeleteFile('C:\WINDOWS\system32\06.scr');
 DeleteFile('C:\WINDOWS\system32\70.exe');
 DeleteFile('C:\WINDOWS\system32\64.exe');
 DeleteFile('C:\WINDOWS\wndrive32.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

Выполните скрипт в AVZ

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

quarantine.zip из папки AVZ отправьте через форму http://support.kaspersky.ru/virlab/helpdesk.html. В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus"(без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Полученный ответ сообщите здесь.

Сделайте новые логи

Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет, пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, C:\ComboFix.txt прикрепите к сообщению.
Примечание: в случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

[teylor2007]

Цитата thyrex:

Запустите combofix.exe, когда процесс завершится, C:\ComboFix.txt прикрепите к сообщению. Примечание: в случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe »

[thyrex]

И к чему эта цитата?

[teylor2007]

Сорри, там после цитаты должен был появиться лог файл о результатах работы ComboFix,но что-то не закрепился