[sztksales]

Нашел схожую проблему чуть ниже и сделал сам самостоятельно следующее:
• Скрипт AVZ.
Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.

HTML код:

Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 TerminateProcessByName('c:\windows\services.exe');
 QuarantineFile('c:\windows\services.exe','');
 DeleteFile('c:\windows\services.exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После всех процедур выполните скрипт

HTML код:

Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Занимаюсь самолечением...)))

[okshef]

Цитата sztksales:

Занимаюсь самолечением...))) »

и угробите систему. В правилах раздела категорически запрещено использование чужих скриптов!!!

[Drongo]

Цитата sztksales:

посмотрите пожалуйста нет ли другой какой нибудь заразы на моем компьютере . Вот мои логи. »

Сейчас посмотрим. А скрипт, что вы написали, не выполняйте!

1. Отключите интернет и локальную сеть если таковая имеется.
2. Очистите временные файлы.
   Очистите временные файлы через Пуск - Программы - Стандартные - Служебные - Очистка диска или с помощью ATF Cleaner.
   • Скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
   • Если вы используете Firefox, нажмите Firefox - Select All - Empty Selected.
   • Нажмите No, если вы хотите оставить ваши сохраненные пароли.
   • Если вы используете Opera, нажмите Opera - Select All - Empty Selected.
   • Нажмите No, если вы хотите оставить ваши сохраненные пароли.
3. Восстановление системы. Создание новой контрольной точки восстановления и очистка предыдущих.
   • Создание новой точки восстановления: Нажмите Пуск > Программы > Стандартные > Служебные > Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать.
   • Очистка всех предыдущих точек восстановления: Нажмите Пуск > Программы > Стандартные > Служебные > Очистка диска, выберите системный диск, на вкладке Дополнительно > Восстановление системы нажмите Очистить, нажмите Да для очистки всех точек восстановления, кроме последней.

* Подробнее можно прочитать в этой теме.

• Скрипт AVZ.
Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 TerminateProcessByName('c:\windows\services.exe');
 QuarantineFile('C:\WINDOWS\services.exe','');
 DeleteFile('C:\WINDOWS\services.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','services');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После всех процедур выполните скрипт

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин quarantine.zip Вышлите полученный файл quarantine.zip на newvirus@kaspersky.com. Результаты ответа, сообщите здесь, в теме.

• HiJackThis. Нужно пофиксить эти строки в HiJackThis. Выставив галочки напротив этих пунктов и нажмите кнопку Fix Checked. Как пофиксить в HijackThis

Код:

O4 - HKLM\..\Run: [services] C:\WINDOWS\services.exe

• Скачайте Malwarebytes Anti-Malware, установите, обновите базы, выберите Perform Full Scan, нажмите Scan, после сканирования - Ok - Show Results (показать результаты) - нажмите Remove Selected (удалить выделенные). Откройте лог и скопируйте в сообщение.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

Повтотите логи.

[sztksales]

okshef, Спасибо Вам, что напомнили о безопасности самостоятельных действий.
В следующий раз буду слушаться...)))

Drongo, Спасибо, что откликнулся на мою просьбу.
К счастью или к сожалению но я выплнинил скрипт, что написал заранее.
Я так понимаю, что у меня зависла строчка:

HTML код:

RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','services');

И что мне с ней делать???
В HiJackThis. пофиксил эту строку в HiJackThis

HTML код:

O4 - HKLM\..\Run: [services] C:\WINDOWS\services.exe

- ее там больше нет.

По поводу Malwarebytes Anti-Malware могу сказать следующее. Эта программа распознает все, что ей кажется подозрительным и она уже однажды на моем компьютере признала много очень ценных пргорамм зловредами и даже сам хелпер который мне предлогал данную антивирусную помощь потом сам признался, что недоволен ей.... так что я лучше уж без нее обойдусь...
Ну что на моем компе еще есть какие нибудь еще зловреды..????
Drongo, как ты думаешь...???
Зловреда отправил на мыло в лабораторию касперского. Как отпишуться - сразу на форуме отпишусь...)))

[Drongo]

Цитата sztksales:

К счастью или к сожалению но я выплнинил скрипт, что написал заранее. Я так понимаю, что у меня зависла строчка: »

Значит если вы выполнили ранний скрипт, то этой строки у вас видимо уже нет. Я так думаю? Хотя не пойму что вы имели ввиду когда говорили:

Код:

RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','services');

зависла строчка? Скрипт не выполняется?

Цитата sztksales:

ее там больше нет. »

Это хорошо. )))

Цитата sztksales:

так что я лучше уж без нее обойдусь... »

Если это ваше решение, то это уже на свой страх и риск. Хоть CureIT проверьте.

Цитата sztksales:

Drongo, как ты думаешь...??? »

Ну откуда я могу знать? Логов же повторных вы не сделали?

[sztksales]

Drongo,
По поводу строчки я просто хотел сказать, что она у вас в скрипте была прописана, а я выполнил скрипт все то же самое, только без нее...

Пришел ответ от Касперского:

HTML код:

 Здравствуйте,

bcqr00001.ini,
bcqr00002.ini

Вредоносный код в файлах не обнаружен.

services.exe_ - Trojan-Ransom.Win32.PornoBro.bn

Этот файл определяется антивирусом. Обновите антивирусные базы.

Пожалуйста, при ответе включайте переписку целиком.

Вот выставляю новые логи. Посмотрите пожалуйста и скажите как с моим компьютером дела.
Здоров ли он ДоХтеР.....


По поводу программы Culert.
У меня на компьютере стоит dr.WEB он этот вирус не смог увидеть, хотя я базы антивирусные обновлял перед поиском данной заразы....

[thyrex]

C:\WINDOWS\system32\Drivers\Beep.sys проверьте на virustotal Ссылку на результат проверки сообщите

[sztksales]

thyrex,
Проверил C:\WINDOWS\system32\Drivers\Beep.sys, вот ответ:

HTML код:

Файл уже проанализирован:
MD5: 09ef2e05778ae5d5043a5720b7546412 
First received: 2009.06.03 20:16:43 UTC 
Дата: 2009.06.03 20:16:43 UTC [>90D] 
Результаты: 0/40 
Permalink: analisis/196b2a4b7bbaacf19d4ceb0e547701b70fb9fbfc0831c9e5cf450f9aed24a177-1244060203

[thyrex]

Цитата sztksales:

Дата: 2009.06.03 20:16:43 »

Прошло уже три месяца с момента его проверки.
Нужно заново проверить файл