[Nefrit]

скрипты ОТМ выполнял, фиксил
немного раньше играл

http://www.virustotal.com/ru/reanali...7a4-1279480679

[Nefrit]

а вот что ответили в касперском

.exe - Backdoor.Win32.Shiz.mp

В настоящий момент этот файл определяется антивирусом со свежими антивирусными базами.

bcqr00003.dat,
bcqr00004.dat,
thumbs.db,
Акт Стапель 2 07 10 04 .doc

Файлы в процессе обработки.

bcqr00005.dat,
bcqr00006.dat,
df.sys

Вредоносный код в файлах не обнаружен.

С уважением, Лаборатория Касперского

[help?]

Запустите HijackThis еще раз, для этого кликните Пуск, Выполнить, введите

Код:

C:\Program Files\trend micro\Шурик.exe

и нажмите Enter.
Откроется главное меню программы HijackThis.
Кликните по кнопке Do a system scan only.
Далее отметьте галочкой (слева) следующие строки, если они присутствуют:

Код:

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\d3eda52c.exe,C:\WINDOWS\system32\vlcjqd.exe,

Закройте все запущенные программы.
Кликните по кнопке Fix и подтвердите свои действия выбрав YES.
Запустите OTM еще раз (в ОС Windows Vista необходимо запускать через правую кн. мыши от имени администратора)
временно выключите антивирус, firewall и другое защитное программное обеспечение. Выделите и скопируйте текст ниже (Ctrl+C)

Код:

:Processes
explorer.exe

:Services

:Files
C:\WINDOWS\system32\qvphzfw.exe
C:\WINDOWS\system32\sgkixsc.exe
C:\WINDOWS\system32\keuipzo.exe

:Reg

:Commands
[purity]
[emptytemp]
[start explorer]
[Reboot]

В OTM под панелью "Paste Instructions for Items to be Moved" (под желтой панелью) вставьте скопированный текст и нажмите кнопку "MoveIt!".

Компьютер перезагрузится.
IE7proSetup_2.0_[tfile.ru].exe
C:\Program Files\WebMoney Advisor
C:\Program Files\IEPro
Известно, САМИ СТАВИЛИ?
Повторите эти логи:
RSIT;
AVZ.

[Nefrit]

кода я не нашол
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\d3eda52c.exe,C:\WINDOWS\system32\vlcjq d.exe
щас вот логи проверяю,
а программы вроде сам ставил

[Nefrit]

а вот и логи

[help?]

Почти вылечели компьютер.Кое-что осталось.
Выполните скрипт в авз:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\anpla.dll','');
 DeleteFile('C:\WINDOWS\system32\anpla.dll');
DelBHO('1DFA2A6E-3CB3-4141-A96F-D42244A6B50E');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
end.

После перезагрузки:

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine1.zip');
end.

В результате выполнения скрипта будет сформирован карантин quarantine1.zip. Отправьте полученный файл quarantine.zip из папки AVZ через данную форму. В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus" (без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Результаты ответа, сообщите здесь, в теме.
Повторите логи авз.
Обновите обязательно:
IE(даже если не пользуетесь!);
- Windows XP SP3(все заплатки поставьте и 3 пак установите).
Adobe Acrobat

[Nefrit]

вот логи , а ответ в касперском еще не прислали

[help?]

Очистить и создать новую контрольную точку восстановления, чтобы если во время лечения произошла непредвиденная ситуация, пользователь мог вернуть систему к предыдущему состоянию:
1. Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно-Восстановление системы нажмите Очистить
2. Нажмите Пуск- Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать.
1. скачайте http://www.atribune.org/ccount/click.php?id=1, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
2. если вы используете Firefox, нажмите Firefox - Select All - Empty Selected
3. нажмите No, если вы хотите оставить ваши сохраненные пароли
4. если вы используете Opera, нажмите Opera - Select All - Empty Selected
5. нажмите No, если вы хотите оставить ваши сохраненные пароли.

Ваш документ, известен?
C:\Documents and Settings\Шурик\Рабочий стол\МОЯ ПАПКА 19.07.09\флешки 14 10 09\флешка моя\USB DISK (G)\Объекты\Документы к акту рабочей комиссии\Акт Стапель 2 07 10 04 .doc
Подозрение одно осталось, так как не прошел по базе безопасных системный драйвер.
Cкачайте Gmer или с зеркала. Запустите программу. После автоматической экспресс-проверки, отметьте галочкой все жесткие диски и нажмите на кнопку Scan. После окончания проверки сохраните его лог (нажмите на кнопку Save) под каким хотите именем, например Gmer.log и прикрепите лог сюда.
Что проблемами?
C:\WINDOWS\system32\DRIVERS\atapi.sys
Проверьте файл на www.virustotal.com
если уже проверялся нажмите повторить анализ сейчас.

[Nefrit]

Gmer выдает ошибку при запуске после чего камп начинает жутко лагать

по поводу C:\WINDOWS\system32\DRIVERS\atapi.sys
выдает 0 bytes size received / Se ha recibido un archivo vacio

а от касперского прислали
Здравствуйте,

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит антивирус с последними обновлениями. Письмо будет передано на рассмотрение вирусному аналитику.

С уважением, Лаборатория Касперского
>> From: tatowka.85@mail.ru
>> Sent: 20.07.2010 7:44:19
>> To: newvirus@kaspersky.com
>> Subject: [VirLabSRF][Malicious file analysis][M:1][LN:RU][L:0]
>>
>>
>> LANG: ru
>> email: tatowka.85@mail.ru
>>
>> description:
>> пароль на архив virus
>>
>> Загруженные файлы:
>> quarantine1.zip

[help?]

Выполните скрипт в авз:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\DRIVERS\atapi.sys','');
BC_ImportQuarantineList;
BC_QrFile('C:\WINDOWS\system32\DRIVERS\atapi.sys');
BC_Activate;
RebootWindows(true);
end.

ПОсле еще скрипт:

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'atapi.zip');
end.

atapi.zip из папки авз пришлите на:
Anti-Spyware2010@yandex.ru