[thyrex]

Отключите защитное ПО (антивирус, файрволл). Включите брандмауэр Windows. А вообще на время лечения сеть лучше отключить.
Выполните скрипт в AVZ

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
SetServiceStart('abp470n5', 4); 
DeleteService('abp470n5');
QuarantineFile('C:\RESTORE\S-1-5-21-1482476501-1644491937-682003330-1013\msnmsngr.exe','');
 QuarantineFile('biogina.dll','');
 QuarantineFile('C:\WINDOWS\system32\gifsury.dll','');
 QuarantineFile('C:\WINDOWS\system32\XP-050BD4A5.EXE','');
 QuarantineFile('C:\WINDOWS\system32\drivers\ooifj.sys','');
 DeleteFile('C:\WINDOWS\system32\drivers\ooifj.sys');
 DeleteFile('C:\WINDOWS\system32\XP-050BD4A5.EXE');
 DeleteFile('C:\WINDOWS\system32\gifsury.dll');
 DeleteFile('C:\RESTORE\S-1-5-21-1482476501-1644491937-682003330-1013\msnmsngr.exe');
DelCLSID('28ABC5C0-4FCB-11CF-AAX5-81CX1C635612');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

Выполнить скрипт в AVZ.

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Файл quarantine.zip из папки AVZ отправьте на thyrex2002@tut.by

2. Пофиксить в HiJack

Код:

F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,,explorer.exe
O4 - HKLM\..\Run: [fsuwcd] rundll32.exe "C:\WINDOWS\system32\gifsury.dll",uwmzvu
O4 - HKLM\..\Run: [XP-050BD4A5] C:\WINDOWS\system32\XP-050BD4A5.EXE
O20 - AppInit_DLLs: C:\WINDOWS\system32\tumint.dll

Повторите логи

>> Заблокировано изменение свойств экрана сами отключали?
z.bat вам знакомо?

thyrex, сорри, но строчку
DeleteFile('biogina.dll');
убрал из скрипта, biogina.dll д.б. от biolink
Добавил
DelCLSID('28ABC5C0-4FCB-11CF-AAX5-81CX1C635612');

[Dump]

Сеть отключить не могу, так как комп находиться ну очень удалённо(100 км). Антивир отключал, после того как комп блокируется (по умолчанию 5 минут) заново вхожу, уже запущен антивир, эту проблему устраним Брандмауэр обязательно включать, если да, не подскажите, как до его включения прописать исключения в нём! Свойства экрана сами блокировали, z.bat мапирует сетевой диск! пошел выполнять скрипты...

я позволил себе удалить из скрипта строчку: DeleteFile('biogina.dll');
строку QuarantineFile('biogina.dll',''); удалять не стал.
Этот файл используется комплексом "Биолинк" - вход в систему посредством пальцевых отпечатков!

[thyrex]

Цитата Dump:

Сеть отключить не могу, так как комп находиться ну очень удалённо(100 км). Антивир отключал, после того как комп блокируется (по умолчанию 5 минут) заново вхожу, уже запущен антивир, эту проблему устраним Брандмауэр обязательно включать, если да, не подскажите, как до его включения прописать исключения в нём! Свойства экрана сами блокировали, z.bat мапирует сетевой диск! пошел выполнять скрипты... »

Имелось в виду отключить компьютер от сети. Пуск - Панель управления - Брандмауэр Windows - Исключения

[Pili]

Dump, Здравствуйте. Дополню. Kaspersky Anti-Virus 7.0 и Trend Micro - оставьте что-нибудь одно.
Предварительно, для предотвращения заражения в ходе лечения, отключите автозапуск со съемных носителей, включите брандмауэр windows и уберите в исключениях брандмауэра общий доступ к файлам и принтерам.
Проверьте ещё раз работает ли безопасный режим, если нет - AVZ - восстановление системы - п.10 и дополнительно можете применить твик реестра из файла safeboot.zip
По логам у вас обнаружен драйвер abp470n5, подозрение на файловый вирус типа sality и ещё подозрение на kido, проверьтесь с помощью cureit в безопасном режиме и утилитой kidokiller строго по инcтсрукции (последняя после скрипта возможно уже не найдет kido)
Java\jre1.5.0_06 - Обновите Java Runtime Environment (JRE)
Скачайте JavaRA здесь или здесь
Распакуйте, запустите, выберите "Remove Older Versions",
Далее нажмите "Search For Updates", выберите "Update Using Sun Java's Website" и "Open Webpage"
Альтернативный вариант - после удаления старой версии скачайте и установите последнюю версию Java Runtime Environment (JRE) с сайта производителя.
Adobe Acrobat также обновите.

Цитата:

Восстановление системы: включено

Создайте новую контрольную точку восстановления и очистите предыдущие:
- Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно-Восстановление системы нажмите Очистить
- Нажмите Пуск- Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать

Очистите временные файлы через Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner
- скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
- если вы используете Firefox, нажмите Firefox - Select All - Empty Selected
- нажмите No, если вы хотите оставить ваши сохраненные пароли
- если вы используете Opera, нажмите Opera - Select All - Empty Selected
- нажмите No, если вы хотите оставить ваши сохраненные пароли

Скачайте Gmer, запустите программу. После автоматической экспресс-проверки, отметьте галочкой системный диск и нажмите на кнопку "Scan". После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.
Сделайте новые логи по правилам.

[Dump]

Пока готовятся логи, хотел бы немного объяснить ситуацию:
Комп находиться далеко в "деревне" , все операции выполняю удалённо через ПО для удалённого администрирования. Для инженера, который там есть всё это сложно, поэтому необходимо добиться, чтобы комп загружался в безопасном режиме, далее надеюсь справится он там.

Цитата thyrex:

Имелось в виду отключить компьютер от сети. Пуск - Панель управления - Брандмауэр Windows - Исключения »

не могу, я его потеряю

Цитата Pili:

Dump, Здравствуйте. Дополню. Kaspersky Anti-Virus 7.0 и Trend Micro - оставьте что-нибудь одно. »

И Вам доброго вечера, касперского там нет, возможно остались какие-то следы ???

Цитата Pili:

включите брандмауэр windows и уберите в исключениях брандмауэра общий доступ к файлам и принтерам. »

сейчас попробую

Цитата Pili:

Создайте новую контрольную точку восстановления и очистите предыдущие: - Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно-Восстановление системы нажмите Очистить - Нажмите Пуск- Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать »

Всё это сделал перед выполнением скриптов в AVZ, единственно забыл выключить восстановление, потом выключил. Проделать ещё раз ?

Цитата Pili:

Очистите временные файлы через Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner »

так же всё сделал перед выполнением скриптов.

Цитата thyrex:

Файл quarantine.zip из папки AVZ отправьте на thyrex2002@tut.by »

Отправил с адреса sc_dump


Я добавил логи, не могу понять но файл virusinfo_syscheck.zip не создаётся, virusinfo_syscure.zip тоже не появился, в файле syscheck.rar скопированный текст с окна AVZ после выполнения стандартного скрипта №2 .

[Pili]

Цитата Dump:

не могу, я его потеряю »

Не потеряете, если порты для удаленного администрирования внесете в исключения, например 3389. Если заплатки (SP3 и все остальные) абсолютно все поставлены, то брандмауэр можно не включать.

Цитата Dump:

касперского там нет, возможно остались какие-то следы ??? »

драйвер C:\WINDOWS\system32\drivers\klif.sys
служба O23 - Service: Kaspersky Anti-Virus 7.0 (AVP)
Пройдитесь утилитой KAVremover9.zip - http://support.kaspersky.ru/faq/?qid=208635705

Цитата Dump:

единственно забыл выключить восстановление, потом выключил. Проделать ещё раз ? »

Восстановление системы можно не отключать, но в таком случае после скрипта надо очищать предыдущие точки восстановления и создавать новую, временные файлы после скрипта лучше чистить.

Цитата Dump:

Я добавил логи »

А вы все предыдущие рекомендации выполнили? Судя ло логу HJT - нет. Защитное ПО выключали на время работы AVZ?

[Dump]

Цитата Pili:

А вы все предыдущие рекомендации выполнили? Судя ло логу HJT - нет. Защитное ПО выключали на время работы AVZ? »

Из того, что сделал:
1.Брандмауэр включил в исключениях убрал общий доступ
2. На время работы AVZ Тренд выгружал через трей, но уже позже заметил, что процессы в работе остаются.
3. временные файлы почистил
4.Установил обновления из статьи про KIDO
5. запустил на проверку CureIt в обычном режиме, в безопасном не смог ТАМ людей на месте уже нет (он прошёл порог в 3%)
6. Ушел домой
Яву и акробат не обновлял, Gmer не запускал, следы касперского не удалял, kidokiller тоже не запускал.

Цитата thyrex:

Добавил DelCLSID('28ABC5C0-4FCB-11CF-AAX5-81CX1C635612'); »

вот эту строчку только заметил, её же отдельно можно будет выполнить ?

[Dump]

Вот последние логи, вроде все рекомендации выполнил, лог AVZ так и не формируется

[Pili]

Dump, с помощью kidokiller по инструкции проверяли систему? Cureit находил win32.sector (или AVPTool win32.sality)?

Код:

O4 - HKLM\..\RunOnce: [UnKAV] wscript.exe //b C:\DOCUME~1\9335~1\LOCALS~1\Temp\UnKAV.vbs

Знакомо? Если нет - пофиксите и очистите временные файлы.
AVZ запускали с консоли или через терминалку? Попробуйте отключить всё защитное ПО, брадндмауэр windows можете оставить, попробуйте запустить хотя бы 2-ой скрипт AVZ и выложить логи virusinfo_syscheck.zip

Скачайте Malwarebytes' Anti-Malware здесь, здесь, здесь или здесь. Установите, обновите базы, выберите Perform Full Scan (Провести полную проверку), нажмите Scan (Проверить), после сканирования выберите Ок и далее Show Results (Показать результаты), нажмите "Remove Selected" (удалить выделенные, внимание - проверьте то, что удаляете). После удаления откройте лог и скопируйте в сообщение. Логи сканирования можно посмотреть во вкладке Logs (Отчеты), выбрав отчет и нажав кнопку Open (Открыть).

Скачайте OTListIt2, сохраните на рабочий стол и запустите, поставьте галочку Scan All Users, LOP Check, Purity Check и в Extra Registry - Use Safe list. Нажмите Run Scan, когда закончится процесс сканирования, откроются два файла OTListIt.Txt и Extras.txt , скопируйте (Ctrl+A, Ctrl+C) текст из этих файлов и вставьте (Ctrl+V) в следующее сообщение, если текст не уместится в одном сообщении, продолжите его в следующем или запакуйте полученные логи C:\OTListIt.Txt и C:\Extras.txt и прикрепите к сообщению.