[Pili]

amigo-64, присланные файлы чистые, WINIO.sys в карантин не попал, поищите вручную (через AVZ), если не найдете, выполните скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 StopService('WINIO');
 SetServiceStart('WINIO', 4);
 QuarantineFile('WINIO.sys','');
 DeleteFile('WINIO.sys');
 DeleteService('WINIO');
 BC_DeleteFile('WINIO.sys');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

больше придраться по логам не к чему, про DSS описано в правилах. п.3.2
Запустите в AVZ Мастер поиска и устранения проблем, выберите все системные проблемы, выставите степень опасности "Все проблемы", исправьте найденные проблемы. То же самое можно выполнить в категории проблемы "Настройки и твики браузера".

Цитата:

>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов) >> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP) >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...) >> Безопасность: к ПК разрешен доступ анонимного пользователя >> Безопасность: Разрешена отправка приглашений удаленному помошнику

что из этого не надо?

[amigo-64]

Цитата Pili:

что из этого не надо?

вот здесь не понял вопроса, - если это указаны мои службы, то из них ничего не нужно.
Скрипт выполнил: мельком увидел, что найден вирус (какой-то червь, название не запомнил) и комп сразу перезагрузился.
"Мастер поиска и устранения проблем" в браузере и системе не нашёл ничего подозрительного, - обычные настройки.
USB мышь и клава так и не работают. Ну, что ж, видимо, придётся откатываться. Спасибо за помощь!

[Pili]

amigo-64, если ничего из служб не надо, выполните скрипт

Код:

begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
SetServiceStart('SSDPSRV', 4);
SetServiceStart('TermService', 4);
 ExecuteRepair(6);
 ExecuteRepair(8);
end.

Цитата amigo-64:

USB мышь и клава так и не работают »

проблема не связана с вирусами, в логах чисто, хотя логи DSS не увидел.

[amigo-64]

Pili, выполню чуть позже, - сейчас машина занята. А DSS я скачал (не знал, что это сканер), запустил и прилагаю лог.

[Pili]

amigo-64, нет ещё лога extra.txt
траффик инспектор установлен? Диск J это у вас что?
выполните скрипт из поста 13
и скрипт

Код:

procedure DisableAutorun;
begin
 RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
end;
 
begin
 DisableAutorun;
end.

Удалите в реестре HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2
найдите, заархивируйте с паролем virus и пришлите файлы, указанные ниже, на адрес user15802[at]mail.ru или выложите на ifolder.ru или slil.ru или другой файлообменник и дайте ссылку на него в ПМ, в теле письма указать ссылку на тему
2ifetri.cmd - на всех дисках
J:\m1t8ta.com
J:\juok3st.bat
J:\d.com
J:\nideiect.com
Внимание, не открывайте диск J двойным щелчком мыши - включите показ скрытых файлов. Рекомендую воспользоваться альтернативным файловым менеджером far или total commander) После того как заархивируете и вышлите, удалите эти файлы. Проверьте диск J антивирусом со свежими базами, не отключайте пока диск J
Скачайте ComboFix здесь или здесь и сохраните на рабочий стол.
Если вы ранее скачивали Combofix, скачайте новую версию. Сохраните Combofix на рабочий стол
1. Не переименовывайте Combofix
2. Внимание! Обязательно закройте все браузеры, закройте и отключите все антивирусное и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
3. Запустите combofix.exe, когда процесс завершится скопируйте и выложите текст из C:\ComboFix.txt в сообщение.
Прикрепите также новые логи AVZ virusinfo_syscheck.zip и hijackthis (c вкл. диском J)

[amigo-64]

Pili, всё сделал в такой последовательности, как было написано.
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2 удалил.

Цитата Pili:

2ifetri.cmd - на всех дисках »

не найден.
J:\m1t8ta.com, J:\juok3st.bat, J:\d.com и J:\nideiect.com - удалил.
архивы в с этими файлами, а также новыми логами AVZ, combofix и hijackthis прикрепляю к посланию.
Ссылки на архивы systemscanner и J - в ПМ.
J:\ - это один из разделов на 5-м массиве, на нём хранятся, в основном, аудио файлы.
Traffic Inspector Agent установлен, - я по нему получаю доступ к локальной сети.

[Pili]

amigo-64, судя по логу avz скрипт из 13 не выполнялся - выполните. Содержимое файла Combofix (и логи DSS) лучше было скопировать в сообщение (исп-ся BB-коды)
удалите из реестра HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{8fce4f2d-b352-11dc-ba17-a0a390a71836}
Поищите файл autorun.inf в корне всех дисков, что найдете в архиве в паролем virus
Вопрос - вы с помощью AVPTool проверялись? Если проверялись, то ставили на сканирование все диски? Если нет - рекомендую посканировать все диски.
На диск (в корень диска) J кроме вас ещё иммет кто-то право на запись?
Предыдущие файлы пока анализируются (по VT они чистые)
Соберем ещё файлы на анализ, выполните скрипт
В меню AVZ - файл - выполнить скрипт – выделить и скопировать текст ниже (методом Ctrl+C/Ctrl+V или с помощью прав. кн. мыши копировать/вставить) в окно выполнения скрипта AVZ и нажать кнопку «Запустить»

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\BReWErS.dll','');
QuarantineFile('C:\WINDOWS\system32\bedcae1_s.dll','');
QuarantineFile('C:\WINDOWS\rm.exe','');
QuarantineFile('C:\WINDOWS\ms.config`.exe','');
QuarantineFile('J:\xo8wr9.exe','');
QuarantineFile('J:\ylr.exe','');
QuarantineFile('J:\h.cmd','');
QuarantineFile('C:\WINDOWS\system32\drivers\giveio.sys','');
QuarantineFile('C:\WINDOWS\system32\GkSui18.EXE','');
DeleteFile('J:\xo8wr9.exe');
DeleteFile('J:\ylr.exe');
ExecuteSysClean;
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится. После перезагрузки выполнить ещё скрипт

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Файл quarantine.zip выслать на user15802[at]mail.ru или выложить на ifolder.ru или slil.ru или другой файлообменник и дать ссылку на него в ПМ, в теле письма указать ссылку на тему.

ComboFix можно деинсталлировать, нажмите пуск-выполнить, введите ComboFix /u
зы. кстати usb устройства могут не работать, если не разрешены в биосе.

[amigo-64]

Pili, выполнил скрипты начиная с поста #12 (13-й - это мой получается).
{8fce4f2d-b352-11dc-ba17-a0a390a71836} не нашёл, удалил всю ветку mountpoints2.

Цитата:

AVPTool проверялись?

нет пока, у меня её не было.. скачаю - проверю, а сперва выполню сканирование avz и dss и выложу логи и quarantine.zip на slil.ru.

Цитата:

(в корень диска) J кроме вас ещё иммет кто-то право на запись?

нет, только administrator, system и я (безопасность), общий доступ запрещён.
сейчас нашёл файлы autorun.inf , заархивировал, прилагаю к сообщению под паролем virus; сами файлы потом удалять или нет?
ComboFix деинсталлировал.
архив здесь: http://slil.ru/25560694
на счёт AVPTool: у меня же avast! стоит, его удалять, что-ли? не хотелось бы, - лицензия..

[Pili]

amigo-64, я не просил найходить все autorun.inf

Цитата Pili:

Поищите файл autorun.inf в корне всех дисков »

Цитата amigo-64:

выполнил скрипты начиная с поста #12 (13-й - это мой получается). »

13 пост http://forum.oszone.net/post-755236-13.html тынц соодержит скрипт, его и надо было выполнить.
скачайте AVPTool и проверьте все диски.
жду карантина

[amigo-64]

Цитата:

usb устройства могут не работать, если не разрешены в биосе

там всё нормально.

Цитата Pili:

скрипт, его и надо было выполнить

выполнил. Карантин выложил на слил.ру.
сейчас делаю полную проверку всех дисков AVZ (базы свежие).

Цитата:

скачайте AVPTool и проверьте все диски.

мне все нельзя проверять, - у меня на одном из разделов (М:\) полно варезу и троянов. проверю все кроме одного.
вот новый карантин:
Предупреждение:Карантин в общий доступ не выкладывать, в нем могут быть вирусы! См. правила