[thyrex]

Логи с помощью AVZ сделайте

[RMS]

Вот

[thyrex]

Выполните скрипт в AVZ

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\sys-up.exe','');
 QuarantineFile('C:\Documents and Settings\RMS\Application Data\bit.exe','');
 QuarantineFile('C:\windows\svcr.exe','');
 DeleteFile('C:\windows\svcr.exe');
 DeleteFile('C:\Documents and Settings\RMS\Application Data\bit.exe');
 DeleteFile('C:\WINDOWS\system32\sys-up.exe');
DelCLSID('{2bf41070-b2b1-21d1-b5c1-0305f4055515}');
 DelCLSID('{6741E630-6B08-7B91-5062-388BE69A5E8B}');
 DelCLSID('{DFD223E7-13AF-8D17-D9A9-05DEFA2352E1}');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(20);
RebootWindows(true);
end.

Компьютер перезагрузится.

Выполните скрипт в AVZ

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

quarantine.zip из папки AVZ отправьте через форму.
1. Выберите тип запроса "Запрос на исследование вредоносного файла".
2. В окне "Подробное описание возникшей ситуации" наберите "Пароль: virus".
3. Прикрепите файл карантина
4. Введите изображенное на картинке число и нажмите "Далее".
5. Если размер карантина превышает 1,5 Мб, то карантин отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь.

Сделайте новые логи

[RMS]

Отпустило вроде! Спасибо!!!

[thyrex]

Плохого не видно

[RMS]

Блин! Опять напали! Вот логи AVZ. HijackThis не запускается.

Стоит Eset Smart Sequrity (НОД с файрволом), на момент нападения были самые свежие обновления.
Может кто-нибудь скажет, что это, через какую дыру лезет и почему ни один антивирус до сих пор не реагирует на это? Эдак каждую неделю можно лечиться!

[thyrex]

Выполните скрипт в AVZ

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\cuehdx.exe','');
 QuarantineFile('C:\WINDOWS\system32\18f4f8f3.exe','');
 DeleteFile('C:\WINDOWS\system32\18f4f8f3.exe');
 DeleteFile('C:\WINDOWS\system32\cuehdx.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(20);
RebootWindows(true);
end.

Компьютер перезагрузится.

Выполните скрипт в AVZ

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

quarantine.zip из папки AVZ отправьте через форму.
1. Выберите тип запроса "Запрос на исследование вредоносного файла".
2. В окне "Подробное описание возникшей ситуации" наберите "Пароль: virus".
3. Прикрепите файл карантина
4. Введите изображенное на картинке число и нажмите "Далее".
5. Если размер карантина превышает 1,5 Мб, то карантин отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь.

Сделайте новые логи

Скачайте RSIT или c зеркала. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

[RMS]

При первом исполнении, на середине, скрипт повесил машину. Второй раз прошёл.

[thyrex]

Пофиксите в HiJack

Код:

O20 - Winlogon Notify: reset5e - Invalid registry found
O20 - Winlogon Notify: Winohk32 - Invalid registry found

Ветку реестра

Код:

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\{6741E630-6B08-7B91-5062-388BE69A5E8B}]

удалите вручную

Файл C:\Program Files\Common Files\keylog.txt и папку C:\Program Files\Common Files\wm удалите вручную

Проблема решена?