[akok]

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:

begin
 ClearQuarantine;
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 TerminateProcessByName('c:\windows\system32\drivers\defmgr.exe');
 QuarantineFile('G:\RECYCLER\S-51-9-25-3434476501-1644491927-601013333-1214\defmgr.exe','');
 QuarantineFile('c:\windows\system32\drivers\defmgr.exe','');
 DeleteFile('c:\windows\system32\drivers\defmgr.exe');
 DeleteFile('G:\RECYCLER\S-51-9-25-3434476501-1644491927-601013333-1214\defmgr.exe');
 DeleteFile('G:\autorun.inf');
 DeleteFile('C:\t9d2a1l6q2e1.exe');
 DeleteService('qkqaska');
 BC_ImportALL;
 BC_Activate;
 ExecuteSysClean;
 RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Полученный архив отправьте на newvirus<at>kaspersky.com (at=@) с указанием пароля: virus в теле письма

Повторите логи.

А когда в правилах RSIT появился?

Скачайте Gmer или с зеркала. Запустите программу. После автоматической экспресс-проверки, отметьте галочкой все жесткие диски и нажмите на кнопку Scan. После окончания проверки сохраните его.

[Majest1c]

Спасибо, щас сделаю, но из за z-connect не успел отредактировать моё сообщение, lдумаю это тоже важно знать, так вот...переустановка винды не помагает, часто выдает ошибку svchost.exe, постоянно нахожу вирусы в:
- С:\windows\system32\x (Win32:Confi [Wrm]);
- С:\windows\system32\qsuszum.dll (win32hllw.shadow.based);
- c:\system volume information\ ...;
- c:\t9d2a1|6q2e1.exe (trojan.pws.multi.75);
и кричит при запуске винды что нужно установить найденное оборудование, у этого оборудования даже названия нет

Буду пробовать как сказали...

[ТроПа]

Кроме того подготовьте ещё лог
Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.
Можете установить Recovery Console по инструкции - how-to-use-combofix, и http://support.microsoft.com/kb/310994 - скачайте установочный файл для своей ОС и сохраните на рабочий стол (напр. Windows XP с пакетом обновления 2 (SP2) - для Windows XP SP3 использовать также этот файл), закройте все остальные приложения и мышкой перенесите установочный файл на иконку ComboFix, подтвердите лицензионное соглашение и установите Microsoft Recovery Console. Доп. см. Программа для Windows XP Professional с пакетом обновления 2 (SP2): Установочные диски для установки с гибкого диска
1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Как использовать ComboFix - how-to-use-combofix и тут
Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exeи тут

[Majest1c]

Всё...сделал. Вот логи. И не могли бы вы описать мне стандартную процедуру, которую необходимо выполнять время от времени для выявления неполадок, и что делать если с системой будет что то не так. Просто облазил несколько форумов, везде процедура почти одна и та же, но с использованием различных программ, запутался слегка. Вот вы говорите, что RSIT в правилах не уместен, нужен ComboFix. Если не трудно разъясните что к чему и когда. Буду очень признателен.

[akok]

Majest1c, не путайте грешное с праведным Есть стандарт (см. правила) но Ваше заражение требует нестандартного лечения. Вот и появился ComboFix.

Цитата Majest1c:

Вот вы говорите, что RSIT в правилах не уместен »

Я говорю это по тому, что на этом ресурсе стандартом есть HJT, а не RSIT.


Очистите временные файлы через Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner
- скачайте ATF Cleaner или с зеркала, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
- если вы используете Firefox, нажмите Firefox - Select All - Empty Selected
- нажмите No, если вы хотите оставить ваши сохраненные пароли
- если вы используете Opera, нажмите Opera - Select All - Empty Selected
- нажмите No, если вы хотите оставить ваши сохраненные пароли


Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.

Код:

KillAll::

File::
c:\windows\system32\qsuszum.dll
c:\windows\system32\00.scr
c:\windows\system32\77.scr

NetSvc::
qkqaska
heiwf

Driver::
heiwf
qkqaska

Folder::

Registry::
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\qkqaska]
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"8447:TCP"=-
FileLook::

DirLook::

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.

[Majest1c]

ну я думаю после нескольких таких ситуаций всё таки разберусь что к чему...Вот лог...

[akok]

Включите встроенный брандмауэр windows, запретите 445 и 139 порт (уберите в исключениях брандмауэра общий доступ к файлам и принтерам), дополнительно можете воспользоваться утилитой wwdc, описание здесь

Скачайте Flash Drive Disinfector и запустите утилиту (не забудьте подключить флешки и/или другие съемные носители) - утилита создает на дисках папки с именем autorun.inf (папка будет содержать файл lpt3.this folder was created by flash_disinfector), это предотвратит запись на диски и съемные носители файлов autorun.inf
Установите обновления
MS08-067 (http://www.microsoft.com/technet/security/...n/ms08-067.mspx)
MS08-068 (http://www.microsoft.com/technet/security/...n/ms08-068.mspx)
MS09-001 (http://www.microsoft.com/technet/security/...n/ms09-001.mspx)




Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.

Код:

KillAll::

File::
c:\windows\system32\qsuszum.dll
NetSvc:: 
odetbz
Driver::
odetbz

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.

[Majest1c]

Порты закрыл, утилитой воспользовался, а вот как установить обновления я к сожалению не знаю

[Majest1c]

Вот отчет ComboFix, обновления не могу установить.