[Stiletto]

при проверке :

[Stiletto]

AVZ и HijackThis

[MotherBoard]

Выполните скрипт в AVZ

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\All Users.WINDOWS\Главное меню\Программы\Автозагрузка\Reboot.exe','');
 QuarantineFile('c:\documents and settings\admin\главное меню\программы\автозагрузка\wwwznv32.exe','');
 DeleteFile('c:\documents and settings\admin\главное меню\программы\автозагрузка\wwwznv32.exe');
DeleteFile('C:\Documents and Settings\All Users.WINDOWS\Главное меню\Программы\Автозагрузка\Reboot.exe');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Комп перезагрузится
Выполните скрипт:

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Полученный архив отправьте на pimenova-08<at>mail.ru c ссылкой на тему.


Пофиксите в HJT(после скрипта в AVZ строчек может не быть)

Код:

O4 - Startup: wwwznv32.exe
O4 - Global Startup: Reboot.exe

IP - ваши? 213.234.192.7 85.21.192.5
если нет, то профиксьте:

Код:

O17 - HKLM\System\CCS\Services\Tcpip\..\{F2FDF527-7443-4B8B-BDD9-71DAEDC446F1}: NameServer = 213.234.192.7 85.21.192.5

Что с проблемами?

[MotherBoard]

Забыла оговорить.. <at> это @
А в хиджаке выделите строки галочками, которые я указала и нажмите внизу на кнопку Fix Checked

Повторите логи.

[Stiletto]

в HJT пофиксила все кроме строчки O4 - Global Startup: Reboot.exe этой строчки не было

на мыло отправить архив не смогла,пишет что оно не существует или заблокированно.

[MotherBoard]

Stiletto, Всё нормально.. пришёл карантин.)
повторите логи пожалуйста.

[Stiletto]

222

[MotherBoard]

Вы скрипты выполняли? судя по логам - не похоже...

Цитата Stiletto:

в HJT пофиксила все кроме строчки O4 - Global Startup: Reboot.exe этой строчки не было »

И эта строчка есть и остальные остались(

ответ из лаборатории:
Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит антивирус с последними обновлениями. Письмо будет передано на рассмотрение вирусному аналитику.

bcqr00003.dat,
bcqr00004.dat,
wwwznv32.exe

Файлы в процессе обработки.

Reboot.exe - not-a-virus:RiskTool.Win32.Reboot.g

Этот файл уже детектируется нашими расширенными базами как потенциально опасное программное обеспечение.

С уважением, Лаборатория Касперского




Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет, пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, файл C:\ComboFix.txt прикрепите к сообщению.
Примечание: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

[Stiletto]

!!!