[iskander-k]

1. Отключите интернет и локальную сеть если таковая имеется.
2. Очистите временные файлы.
   Очистите временные файлы через Пуск - Программы - Стандартные - Служебные - Очистка диска или с помощью ATF Cleaner.
   • Скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
   • Если вы используете Firefox, нажмите Firefox - Select All - Empty Selected.
   • Нажмите No, если вы хотите оставить ваши сохраненные пароли.
   • Если вы используете Opera, нажмите Opera - Select All - Empty Selected.
   • Нажмите No, если вы хотите оставить ваши сохраненные пароли.
3. Восстановление системы. Создание новой контрольной точки восстановления и очистка предыдущих.
   
   • Очистка всех предыдущих точек восстановления: Нажмите Пуск > Программы > Стандартные > Служебные > Очистка диска, выберите системный диск, на вкладке Дополнительно > Восстановление системы нажмите Очистить, нажмите Да для очистки всех точек восстановления, кроме последней.

* Подробнее можно прочитать в этой теме.

• HiJackThis. Нужно пофиксить эти строки в HiJackThis. Выставив галочки напротив этих пунктов и нажмите кнопку Fix Checked. Как пофиксить в HijackThis

Код:

 R3 - URLSearchHook: (no name) - - (no file)
 F2 - REG:system.ini: UserInit=userinit.exe,run.bat

• Скрипт AVZ.
Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.

Код:

 begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 TerminateProcessByName('c:\windows\help\svchost.exe');
 QuarantineFile('c:\windows\help\svchost.exe','');
 QuarantineFile('c:\windows\system32\run.bat','');
 QuarantineFile('c:\windows\temp\b.exe','');
 QuarantineFile('c:\autorun.inf','');
 QuarantineFile('d:\autorun.inf','');
 QuarantineFile('e:\autorun.inf','');
 QuarantineFile('f:\autorun.inf','');
QuarantineFile('C:\WINDOWS\System32\drivers\qbb08c7.sys','');
QuarantineFile('C:\WINDOWS\system32\a.s.k.exe','');
DeleteFile('C:\WINDOWS\system32\a.s.k.exe');
 DeleteFile('C:\WINDOWS\System32\drivers\qbb08c7.sys');
 DeleteFile('c:\windows\help\svchost.exe');
 DeleteFile('c:\windows\system32\run.bat');
 DeleteFile('c:\windows\temp\b.exe');
 DeleteFile('c:\autorun.inf');
 DeleteFile('d:\autorun.inf');
 DeleteFile('e:\autorun.inf');
 DeleteFile('f:\autorun.inf');
DelCLSID('BB65B0FB-5712-401b-B616-E69AC55E2757');
 RegKeyStrParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'UserInit', GetEnvironmentVariable('WinDir')+'\system32\userinit.exe,');
 DeleteService('r_server');
 DeleteService('qbb08c7');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteRepair(8);
RebootWindows(true);
end.

После всех процедур выполните скрипт

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин quarantine.zip. Отправьте полученный файл quarantine.zip из папки AVZ через данную форму. В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus" (без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Результаты ответа, сообщите здесь, в теме.


• Скачайте Malwarebytes Anti-Malware, установите, обновите базы, выберите Perform Full Scan, нажмите Scan, после сканирования - Ok - Show Results (показать результаты) - нажмите Remove Selected (удалить выделенные). Откройте лог и скопируйте в сообщение.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.


Обновите АВЗ и выложите новые логи.

[Ololoval]

Выполнил все. Выкладываю то, что требуется.

Ответ, который пришел на почту:
___________________________________________________________
Hello,

This message is generated by automatic letter reception system. The report contains information on what the verdicts on the files (if any in the letter) makes antivirus with latest updates. Letter will be passed to the virus analyst.

a.s.k.exe
autorun.inf,
autorun_0.inf,
autorun_1.inf,
autorun_2.inf,
run.bat

These files are in process.

bcqr00015.dat,
bcqr00016.dat,
qbb08c7.sys

No malicious code were found in these files.

svchost.exe - not-a-virus:RemoteAdmin.Win32.RAdmin.20

This file is already detected by our extended bases as a potentially risk program. See more info about extended databases here: http://www.kaspersky.com/extraavupdates

Best Regards, Kaspersky Lab

10/1, 1st Volokolamsky Proezd, Moscow, 123060, Russia
Tel./Fax: + 7 (495) 797 8700
http://www.kaspersky.com http://www.viruslist.com
__________________________________________________



Лог MBAM:
__________________________________________________
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Версия базы данных: 4529

Windows 5.1.2600 Service Pack 2
Internet Explorer 6.0.2900.2180

02.09.2010 14:24:58
mbam-log-2010-09-02 (14-24-58).txt

Тип сканирования: Полное сканирование (C:\|D:\|E:\|F:\|)
Просканированные объекты: 262678
Времени прошло: 1 часов, 7 минут, 6 секунд

Зараженные процессы в памяти: 0
Зараженные модули в памяти: 0
Зараженные ключи в реестре: 7
Зараженные параметры в реестре: 0
Объекты реестра заражены: 3
Зараженные папки: 0
Зараженные файлы: 13

Зараженные процессы в памяти:
(Вредоносных программ не обнаружено)

Зараженные модули в памяти:
(Вредоносных программ не обнаружено)

Зараженные ключи в реестре:
HKEY_CLASSES_ROOT\xml.xml (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\xml.xml.1 (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{500bca15-57a7-4eaf-8143-8c619470b13d} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Typelib\{e24211b3-a78a-c6a9-d317-70979ace5058} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Monopod (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\XML (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\kbupdate (Backdoor.Bot) -> Quarantined and deleted successfully.

Зараженные параметры в реестре:
(Вредоносных программ не обнаружено)

Объекты реестра заражены:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Зараженные папки:
(Вредоносных программ не обнаружено)

Зараженные файлы:
C:\Documents and Settings\Admin\Мои документы\Downloads\K2010\AntiHacker\Crack.exe (RiskWare.Tool.CK) -> Quarantined and deleted successfully.
C:\Documents and Settings\Admin\Рабочий стол\Quarantine\2010-09-02\avz00007.dta (BackDoor.Gootkit) -> Quarantined and deleted successfully.
C:\Documents and Settings\Admin\Рабочий стол\Quarantine\2010-09-02\bcqr00015.dat (BackDoor.Gootkit) -> Quarantined and deleted successfully.
C:\Documents and Settings\Admin\Рабочий стол\Quarantine\2010-09-02\bcqr00016.dat (BackDoor.Gootkit) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\nd.sys (Trojan.Ndiswrap) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\qbb08c7.sys (BackDoor.Gootkit) -> Delete on reboot.
C:\WINDOWS\Help\admdll.dll (PUP.RemoteAdmin) -> Quarantined and deleted successfully.
C:\WINDOWS\Help\raddrv.dll (PUP.RemoteAdmin) -> Quarantined and deleted successfully.
D:\Program Files\Guitar Pro 5.2\Keygen.exe (RiskWare.Tool.CK) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\crt.dat (Malware.Trace) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\kboem32.dat (Backdoor.Bot) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\0.4168274061019166.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\WINDOWS\Tasks\{BB65B0FB-5712-401b-B616-E69AC55E2757}.job (Trojan.Downloader) -> Quarantined and deleted successfully.
___________________________________________

Логи AVZ в приложениях.

[iskander-k]

Что с вашей проблемой ?


Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.

Код:

begin
QuarantineFile('cgtbadxm.sys','');
end.

После всех процедур выполните скрипт

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин quarantine.zip. Отправьте полученный файл quarantine.zip из папки AVZ через данную форму. В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus" (без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Результаты ответа, сообщите здесь, в теме.

[Ololoval]

Проблема, вроде, исчезла. По крайней мере, пока что, после выполнения предыдущих шагов, ошибки не выскакивали.

___________________________________________________

Цитата iskander-k:

begin QuarantineFile('cgtbadxm.sys',''); end. »

При выполнении первого скрипта выводит сообщение: "Скрипт выполнен без ошибок"
В окне "Протокол" при этом выводит такое сообщение: "Ошибка карантина файла, попытка прямого чтения (cgtbadxm.sys)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (cgtbadxm.sys)
Карантин с использованием прямого чтения - ошибка"

Система не перегружается. В папке "Quarantine" создается папка сегодняшним числом, но она пустая.

[iskander-k]

Раз проблем нет помечайте тему решенной.

Если используете систему восстановления -
Создайте новую контрольную точку восстановления и очищаем заражённую:
1. Нажмите Пуск- Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать.


Вам рекомендуется ...
Обновить вашу ОС Microsoft Windows XP Professional Service Pack 2
до версии Microsoft Windows XP Professional Service Pack 3. В Service Pack 3 включено множество исправлений ОС. Обновить можно с помощью центра обновления встроенного в ОС. Или загрузить пакет SP3 с Центра загрузки Майкрософт выбрав язык соответствующий вашей ОС.
В дальнейшем регулярно обновляйте windows посредством встроенной системы обновления.

После обновления возможно потребуется повторная активация !!!

[Ololoval]

Спасибо большое за помощь.