По касперскому:
C:\Documents and Settings\All Users\Application Data\Microsoft\OFFICE\USERDATA\jjDXAYrrs1.dll - AdWare.Win32.IEHlpr.hb
C:\WINDOWS\system32\drivers\devis.sys -Trojan.Win32.Zapchast.ew
C:\WINDOWS\System32\DRIVERS\2shxne.sys - Trojan-Downloader.Win32.Hmir.sm
C:\Documents and Settings\All Users\Application Data\Microsoft\Office\SYSTEM\sysloader.exe - Trojan-Downloader.Win32.Agent.pfh, Trojan-Downloader.Win32.Agent.jdz
C:\WINDOWS\system32\drivers\mxdispdr.sys - Trojan.Win32.Inject.tf
C:\WINDOWS\system32\drivers\a0c8y6.sys - Trojan-Downloader.Win32.Hmir.dje
C:\Documents and Settings\All Users\Application Data\Microsoft\Office\SYSTEM\finder.dll - Trojan-Downloader.Win32.Agent.pfh
C:\WINDOWS\system32\drivers\acpidisk.sys - новый, RKIT/Cinmus.M по AntiVir
по VT тут
Где лог hijakthis?
Скачайте
IceSword, запустите, выберите в меню File, появится аналог проводника, найдите в нем указанные файлы (если найдутся)
нажмите по файлам правой кнопкой мыши и скопируйте файлы
Код:
C:\WINDOWS\system32\drivers\ga4kemtko.sys
C:\WINDOWS\system32\drivers\oc7vbj.sys
C:\WINDOWS\SYSTEM32\spoo1v.exe
в какую-нибудь папку (создайте напр. папку virus) при помощи Copy to..., потом удалите файлы
Код:
C:\WINDOWS\System32\DRIVERS\2shxne.sys
C:\WINDOWS\system32\drivers\a0c8y6.sys
C:\WINDOWS\system32\drivers\ga4kemtko.sys
C:\WINDOWS\system32\drivers\oc7vbj.sys
C:\WINDOWS\system32\drivers\devis.sys
C:\WINDOWS\SYSTEM32\spoo1v.exe
с помощью force delete (прав. кн. мыши, на запрос подтверждения ответьте "да").
Скопированные файлы запакуйте в архив с паролем virus и пришлите, потом выполните скрипт
Код:
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
StopService('oc7vbj');
SetServiceStart('oc7vbj', 4);
StopService('ga4kemtko');
SetServiceStart('ga4kemtko', 4);
StopService('a0c8y6');
SetServiceStart('a0c8y6', 4);
StopService('2shxne');
SetServiceStart('2shxne', 4);
StopService('devis');
SetServiceStart('devis', 4);
QuarantineFile('C:\WINDOWS\SYSTEM32\spoo1v.exe','');
QuarantineFile('C:\WINDOWS\LIVING~1.SCR','');
QuarantineFile('C:\WINDOWS\system32\drivers\oc7vbj.sys','');
QuarantineFile('C:\WINDOWS\SYSTEM32\RUNDLLFOROUR.EXE','');
QuarantineFile('C:\WINDOWS\system32\drivers\ga4kemtko.sys','');
QuarantineFile('C:\WINDOWS\SYSTEM32\RUNDLLFOROUR.EXE','');
DeleteFile('C:\WINDOWS\system32\drivers\devis.sys');
DeleteFile('C:\WINDOWS\system32\drivers\a0c8y6.sys');
DeleteFile('spoo1v.exe');
DeleteFile('C:\WINDOWS\SYSTEM32\spoo1v.exe');
DeleteFile('C:\WINDOWS\System32\DRIVERS\2shxne.sys');
DeleteFile('C:\WINDOWS\system32\drivers\ga4kemtko.sys');
DeleteFile('C:\WINDOWS\system32\drivers\oc7vbj.sys');
DeleteService('2shxne');
DeleteService('a0c8y6');
DeleteService('ga4kemtko');
DeleteService('oc7vbj');
DeleteService('devis');
DeleteService('spoo1v');
BC_QrFile('C:\WINDOWS\SYSTEM32\RUNDLLFOROUR.EXE');
BC_QrFile('C:\WINDOWS\SYSTEM32\spoo1v.exe');
BC_DeleteFile('C:\WINDOWS\system32\drivers\a0c8y6.sys');
BC_DeleteFile('C:\WINDOWS\SYSTEM32\spoo1v.exe');
BC_DeleteFile('C:\WINDOWS\system32\drivers\devis.sys');
BC_DeleteFile('C:\WINDOWS\System32\DRIVERS\2shxne.sys');
BC_DeleteFile('C:\WINDOWS\system32\drivers\ga4kemtko.sys');
BC_DeleteFile('C:\WINDOWS\system32\drivers\oc7vbj.sys');
BC_ImportAll;
ExecuteSysClean;
BC_QrSvc('SoSCAR');
BC_QrSvc('spoo1v');
BC_DeleteSvc('devis');
BC_DeleteSvc('oc7vbj');
BC_DeleteSvc('ga4kemtko');
BC_DeleteSvc('a0c8y6');
BC_DeleteSvc('2shxne');
BC_DeleteSvc('spoo1v');
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится. После перезагрузки выполнить ещё скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Файл quarantine.zip выслать на user15802[at]mail.ru, в теле письма указать ссылку на тему
Рекомендую провериться с помощью AVPTool
Повторите логи
