[iskander-k]

Полиморфный АВЗ тоже не запускается ? Если не пробовали скачайте из моей подписи.

Скачайте "OSAM" (Online Solutions Autorun Manager)
(http://www2.online-solutions.ru/ru/d...e.php?p=65580). - установочный пакет
http://www2.online-solutions.ru/ru/d...le.php?p=65579 - портабельная версия (распаковать и запустить)
html-лог работы утилиты заархивируйте и прикрепите к своему сообщению

[alissa_12]

Полиморфный AVZ запустился) Только с большим трудом... Помог только параметр AM=Y, а иначе не запускался. Причем не с первого раза, а примерно с 5-7 раза запускался. И при выполнении скрипта № 3 несколько раз зависал, приходилось делать сначала.

После перезагрузки компа (после скрипта № 3) папка Log и Карантин исчезает бесследно... хорошо я скопировала файл virusinfo_syscure в другую папку до перезагрузки...

На всякий случай проверила еще раз Gmer, может пригодится (другие проги Kaspersky Virus Removal, RSIT, HijackThis, Malwarebytes' Anti-Malware, ComboFix – все еще не запускаются)

Еще проверила RemovelT Pro v4, прилагаю лог может пригодится.

osam_autorun_manager_5_0 - не запускается (портабельная версия тоже). Причем ESS усмторел в этом файле угрозу (см. файл во вложении)

P.S. Я заметила, что на системном диске D резко сократился объем. Вчера было 4 Gb свободных, сейчас смотрю около 500 Mb. Я ничего особо крупного на системный диск стараюсь не копировать... что может занять 3,5 Gb?? Не понимаю... Может этот факт тоже имеет отношение к вирусу...

[zirreX]

• Выполните скрипт AVZ
Перед выполнением скрипта отключите защитное ПО (антивирус, файрволл)

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('D:\WINDOWS\system32\cnmlm6e.dll','');
QuarantineFile('D:\WINDOWS\system32\stisjbn.exe','');
DeleteFile('D:\WINDOWS\system32\stisjbn.exe');
RegKeyStrParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'UserInit', GetEnvironmentVariable('SystemRoot')+'\system32\userinit.exe,');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(20);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится!

После перезагрузки выполните такой скрипт

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин. Отправьте c:\quarantine.zip на адрес quarantine@virusnet.info, в названии темы укажите – Ссылку на вашу тему.Результаты ответа сообщите здесь, в теме.

После этого попытайтесь запустить RSIT

или

Скачайте DDS или с зеркала и сохраните на рабочий стол, отключите антивирус и запустите dds.scr, когда сканирование закончится, скопируйте текст из файлов DDS.txt и Attach.txt в сообщение или запакуйте файлы и вложите в сообщение

[alissa_12]

Карантин отправила.
После выполнения скрипта стали открываться все программы (RSIT, HijackThis, Malwarebytes' Anti-Malware), решила всеми программами сделать проверку. Также сделала новые логи AVZ (уже обычной версией, не полиморфной, и с обновленными базами).

DDS тоже проверила. Логи прилагаю.

Спасибо за помощь))

Видимых проблем я больше не наблюдаю... кроме как резкое сокращение объема системного диска D (на 3,5 Gb). Может у Вас есть какие-то мысли на этот счет?

[zirreX]

Удалите файл вручную:
d:\windows\system32\дчь?ЄҐш?rWш?њЛ@¶0И0‰

sdsetup.exe - это ваш файл на рабочем столе?

• Выполните скрипт AVZ
Перед выполнением скрипта отключите защитное ПО (антивирус, файрволл)

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('d:\windows\system32\wuauclt.exe','');
QuarantineFile('D:\Documents and Settings\Admin\Рабочий стол\sdsetup.exe','');
QuarantineFile('d:\program files\odfplugin.msi','');
QuarantineFile('d:\program files\instmsiw.exe','');
QuarantineFile('d:\program files\instmsia.exe','');
QuarantineFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\mbr.sys','');
QuarantineFile('d:\windows\system32\drivers\tbsr.sys','');
DeleteFile('d:\windows\system32\drivers\tbsr.sys');
DeleteFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\mbr.sys');
DeleteFileMask('D:\Program Files\Common Files\5C4164B2a', '*.*', true);
DeleteDirectory('D:\Program Files\Common Files\5C4164B2a');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится!

После перезагрузки выполните такой скрипт

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин. Отправьте c:\quarantine.zip на адрес quarantine@virusnet.info, в названии темы укажите – Ссылку на вашу тему.Результаты ответа сообщите здесь, в теме.

Для контроля подготовьте логи AVZ и DDS

[alissa_12]

Файл вручную удалила.

На счет sdsetup.exe - даже не знаю что это за файл... и найти я его не могу на рабочем столе (даже включила отображение скрытых файлов и папок, не видно его). Наверно лучше его как-то удалить? Только как? Возможно это он и занимает тот объем на системном диске.

Карантин получился объемом 217 Mb (архив). Даже в этом случае нужно его отправлять? В почте можно будет сформировать ссылку

Прилагаю новые логи

[zirreX]

Цитата alissa_12:

Карантин получился объемом 217 Mb (архив). Даже в этом случае нужно его отправлять? »

В таком случае не нужно отправлять

sdsetup.exe - даже не знаю что это за файл... и найти я его не могу на рабочем столе
Из под администратора смотрели?Если не ошибаюсь это установочный файл Spyware Doctor.Посмотрите по пути:D:\Documents and Settings\Admin\Рабочий стол\sdsetup.exe

Проверьте файл wuauclt.exe (дата создания/изменения отличаются) на www.virustotal.com
d:\windows\system32\wuauclt.exe

Дайте ссылку с результатом проверки


Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду Combofix /Uninstall, нажмите кнопку "ОК"

Скачайте OTCleanIt или с зеркала, запустите, нажмите Clean up


Создайте новую контрольную точку восстановления и удалите зараженную:
1. Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно - Восстановление системы нажмите Очистить
2. Нажмите Пуск- Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать.

Скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
если вы используете Firefox, нажмите Firefox - Select All - Empty Selected
нажмите No, если вы хотите оставить ваши сохраненные пароли
если вы используете Opera, нажмите Opera - Select All - Empty Selected
нажмите No, если вы хотите оставить ваши сохраненные пароли.

[alissa_12]

Все-таки этот файл sdsetup.exe найти не могу. Нет его по указанному адресу.

Проверила файл wuauclt.exe. Вот ссылка:
http://www.virustotal.com/file-scan/...173-1290547242

На счет ComboFix. Я нажала Пуск => Выполнить, ввела команду Combofix /Uninstall. Но выходит сообщение, что "Windows не удалось найти Combofix". Ведь в этот раз я даже не дошла до его установки (изначально он не запускался, а позже Вы не просили им проверять, поэтому я так его и не запускала).

Новую точку восстановления создала, остальные удалила.

ATF-Cleaner запустила. И, о чудо)), он удалил все лишнее (около 4 Gb), и таким образом, системный диск восстановил прежний объем, т.е. опять 4 Gb свободных.

Очередной раз благодарю)))
Все, что мной было проделано - этого достаточно? Или еще что-то сделать?

[zirreX]

Цитата alissa_12:

На счет ComboFix. Я нажала Пуск => Выполнить, ввела команду Combofix /Uninstall. Но выходит сообщение, что "Windows не удалось найти Combofix". »

Скачайте и запустите OtCleanIt.

Цитата Fedin:

Скачайте OTCleanIt или с зеркала, запустите, нажмите Clean up »

Больше проблем не вижу.

Смените все важные пароли!

Для предотвращения заражения рекомендую вам придерживаться этих правил:
1.Всегда работайте только под обычным пользователем!
2.Используйте браузер Firefox с дополнением NoScript
Если вы используете браузер Internet Explorer, отключите в нем ActiveX (Сервис -> свойства обозревателя -> безопасность -> другой -> запуск элементов ActiveX и модулей подключения
3.Устанавливайте обновления и патчи Windows.
4.Ежедневно обновляйте антивирусные базы.
5.Никогда не устанавливайте два антивируса или сетевых экрана (файрвол).

Помимо антивируса, проверяйте систему на присутствие вредоносных программ утилитой Dr.Web Cureit