[Drongo]

Цитата hnsk:

если все же логи нужны - выложу. »

Нужны, выкладывайте, но сначала обновите базы в AVZ.

[hnsk]

вот логи

[iskander-k]

• Скрипт AVZ.
Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('c:\documents and settings\администратор\local settings\temp\1\_uninst_setup_9.0.0.722_19.11.2010_14-11.exe.bat','');
 QuarantineFile('c:\scripts\dumpsql.bat','');
 QuarantineFile('c:\scripts\move_from_dc_to_sdc.bat','');
 DeleteFile('c:\documents and settings\администратор\local settings\temp\1\_uninst_setup_9.0.0.722_19.11.2010_14-11.exe.bat');
 DeleteFile('c:\scripts\dumpsql.bat');
 DeleteFile('c:\scripts\move_from_dc_to_sdc.bat');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После всех процедур выполните скрипт

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин quarantine.zip. Полученный архив отправьте через форму или на quarantine<at>virusnet.info (at=@) с указанной ссылкой на тему и вашим ником(именем на форуме). , в названии темы укажите - "Проверка карантина". В теле сообщения укажите адрес своей темы и ник форуме. Результаты ответа, сообщите здесь, в теме.

2
• Скачайте Malwarebytes Anti-Malware, установите, обновите базы, выберите Perform Full Scan, нажмите Scan, после сканирования - Ok - Show Results (показать результаты) - нажмите Remove Selected (удалить выделенные). Откройте лог и скопируйте в сообщение.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.


3
Загрузите GMER по одной из указанных ссылок
Gmer со случайным именем (рекомендуется), Gmer в zip-архиве (перед применением распаковать в отдельную папку)
Запустите программу (пользователям Vista запускать от имени Администратора по правой кнопке мыши).
Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No.
После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов:

• Sections
• IAT/EAT
• Show all

Из всех дисков оставьте отмеченным только системный диск (обычно C:\)
Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.
После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.

[hnsk]

Цитата iskander-k:

DeleteFile('c:\scripts\dumpsql.bat'); DeleteFile('c:\scripts\move_from_dc_to_sdc.bat'); »

это мои скрипты
а остальное попробую в понедельник.
спасибо.

[iskander-k]

Цитата hnsk:

это мои скрипты а остальное попробую в понедельник. »

без проблем - исключите их из скрипта

[hnsk]

iskander-k,
ктстати, первый пункт, это то что осталось от распаковки avptool
Malwarebytes Anti-Malware нашел один инфицированный объект.

чуть позже скину его результаты и результаты gmer'a

avz чуть позже, так как машинку скрипт перезагрузит.
и кстати, на сколько этот скрипт безопасен? так как этот комп - это контроллер домена

[hnsk]

логи hijackthis и mbam

[iskander-k]

Цитата hnsk:

и кстати, на сколько этот скрипт безопасен? »

так как вы исключите ваши скрипты , то остается от avptool - больше ничего скрипт не сделает.

Цитата hnsk:

логи hijackthis и mbam »

Ничего -активного заражения не вижу.


Скачайте DDS или с зеркала и сохраните на рабочий стол, отключите антивирус и запустите dds.scr, когда сканирование закончится, скопируйте текст из файлов DDS.txt и Attach.txt в сообщение или запакуйте файлы и вложите в сообщение

Как подготовить логи DDS.SCR

[hnsk]

iskander-k,
В том то и дело. а вирус есть и постоянно плодиться на шаре((