[nadmarik]

karalka1, между прочим у меня тоже стоит автопереключатель D-link KVM 2 портовый. Но дело в том что чуть больше года сервак работал и не было никаких ошибок, а теперь появились.

[nadmarik]

Petya V4sechkin, логи в файле

[Petya V4sechkin]

nadmarik, в логах вирусы:

Цитата hijackthis.log:

O23 - Service: Microsoft security update service (msupdate) - Unknown owner - c:\windows\system32\vhosts.exe (file missing) O23 - Service: NetMicrosoft - Unknown owner - C:\WINDOWS\System32\Microsoft\Protect\svchost.exe

Цитата avz_sysinfo.htm:

Подозрение на маскировку ключа реестра службы\драйвера "ohrqk"

Dr.Web CureIt полную проверку сделали?
Тему лучше перенести в Лечение систем от вредоносных программ.

[nadmarik]

Dr.Web CureIt делал полную проверку

и Касперским тоже

[Petya V4sechkin]

nadmarik, можете проверить файл C:\WINDOWS\System32\Microsoft\Protect\svchost.exe на VirusTotal или VirSCAN.org (и отправить в Лабораторию Касперского, раз вы им пользуетесь).

[SolarSpark]

Проверьте файл:

Цитата:

C:\WINDOWS\system32\r_server.exe

на http://www.virustotal.com/ru/ ссылки на результат проверки укажите в теме в ввиде ссылок.

Отключите:
Компьютер от интернета/локальной сети
Антивирус/Файерволл

AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 TerminateProcessByName('c:\windows\system32\microsoft\protect\svchost.exe');
 QuarantineFile('c:\windows\system32\microsoft\protect\svchost.exe','');
 QuarantineFile('c:\windows\system32\vhosts.exe','');
 DeleteFile('c:\windows\system32\microsoft\protect\svchost.exe');
 DeleteFile('c:\windows\system32\vhosts.exe');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 DeleteService('netmicrosoft');
 DeleteService('msupdate');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится!

После перезагрузки выполните такой скрипт:

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин.Отправьте c:\quarantine.zip при помощи этой формы
В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus" (без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Результаты ответа, сообщите здесь, в теме.


Пофиксить в HijackThis следующие строчки:

Код:

	
R3 - URLSearchHook: (no name) - - (no file)
R3 - URLSearchHook: (no name) - {6778613D-616B-4A6C-9856-65DE943CF424} - (no file)

Сделайте повторные логи AVZ + RSIR
+
Загрузите GMER по одной из указанных ссылок
Gmer со случайным именем (рекомендуется), Gmer в zip-архиве (перед применением распаковать в отдельную папку)
Запустите программу (пользователям Vista запускать от имени Администратора по правой кнопке мыши).
Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No.
После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов:

• Sections
• IAT/EAT
• Show all

Из всех дисков оставьте отмеченным только системный диск (обычно C:\)
Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.
После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.
+
Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.

[Drongo]

Цитата Petya V4sechkin:

можете проверить файл C:\WINDOWS\System32\Microsoft\Protect\svchost.exe на VirusTotal или VirSCAN.org (и отправить в Лабораторию Касперского, раз вы им пользуетесь). »

Плюс ко всем советам, проверьте там же ещё и этот файл

Код:

c:\windows\system32\winlogon.exe

[nadmarik]

maniy77, http://www.virustotal.com/file-scan/...167-1300793232

[SolarSpark]

nadmarik, И?! Логи повторные где?

[nadmarik]

maniy77, логи в архиве http://narod.ru/disk/8204606001/logs2.zip.html