[thyrex]

Перед выполнением скрипта временно отключите защитное ПО (Outpost). Включите брандмауэр Windows

Выполните скрипт в AVZ

Код:

 begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
SetServiceStart('RSVPMSDTC', 4);
 SetServiceStart('Microsoft Memory Driver', 4);
 SetServiceStart('AudioSrvRpcLocator', 4);
 QuarantineFile('C:\WINDOWS\system32\cabine.dll',''); 
QuarantineFile('WinCtrl32.dll','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Ekq85.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\ati0pvxx.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\ati0sxxx.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\ati1joxx.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\ati2puxx.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\ati5otxx.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\ati7joxx.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\ati8joxx.sys','');
QuarantineFile('C:\WINDOWS\iedr.exe','');
 QuarantineFile('srv.exe','');
 QuarantineFile('C:\WINDOWS\system32\drivers\TDSSmaxt.sys','');
 DeleteFile('C:\WINDOWS\system32\drivers\TDSSmaxt.sys');
 DeleteFile('srv.exe');
 DeleteFile('C:\WINDOWS\iedr.exe');   
 DeleteFile('C:\WINDOWS\System32\Drivers\ati8joxx.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\ati7joxx.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\ati5otxx.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\ati2puxx.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\ati1joxx.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\ati0sxxx.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\ati0pvxx.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Ekq85.sys');
 DeleteFile('WinCtrl32.dll');
DeleteFile('C:\WINDOWS\system32\cabine.dll');
DeleteService('ati8joxx');
 DeleteService('ati7joxx');
 DeleteService('ati5otxx');
 DeleteService('ati2puxx');
 DeleteService('ati1joxx');
 DeleteService('ati0sxxx');
 DeleteService('ati0pvxx');
DeleteService('Ekq85');
DeleteService('RSVPMSDTC');
 DeleteService('Microsoft Memory Driver');
 DeleteService('AudioSrvRpcLocator');
DelWinlogonNotifyByKeyName('WinCtrl32');
DeleteFileMask('%Tmp%', '*.*', true);
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteFile('C:\WINDOWS\system32\drivers\TDSSmaxt.sys');
BC_DeleteSvc('Ekq85');
 BC_DeleteSvc('ati0pvxx');
 BC_DeleteSvc('ati8joxx');
 BC_DeleteSvc('ati7joxx');
 BC_DeleteSvc('ati5otxx');
 BC_DeleteSvc('ati2puxx');
 BC_DeleteSvc('ati1joxx');
 BC_DeleteSvc('ati0sxxx');
 BC_DeleteSvc('RSVPMSDTC');
 BC_DeleteSvc('Microsoft Memory Driver');
 BC_DeleteSvc('AudioSrvRpcLocator');
BC_Activate;
ExecuteWizard('TSW', 1, 1, true);
ExecuteWizard('BT', 1, 1, true);
RebootWindows(true);
end.

Компьютер перезагрузится.

Выполнить скрипт в AVZ.

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

quarantine.zip из папки AVZ отправьте на thyrex2002@tut.by. В теле письма укажите ссылку на тему

2. Пофиксить в HiJack

Код:

R3 - URLSearchHook: (no name) - {83821C2B-32A8-4DD7-B6D4-44309A78E668} - (no file)

Повторите все логи

[Котяра]

levantin, после выполнения инструкций thyrex повторите логи.

[Pili]

thyrex, посмотри в ПМ.
С семейством Tdsserv надо бороться дополнительно другими утилитами.

levantin, Рекомендую временно деинсталлировать Outpost, т.к. он может помешать как работе AVZ, так и др. утилит, временно включите брандмауэр windows.
Скачайте SDFix здесь или здесь, загрузитесь в безопасном режиме, запустите утилиту (запустить RunThis.bat из папки SDFix - подтвердить, нажав "Y"), после окончания сканирования скопируйте (Ctrl+A, Ctrl+C) текст из C:\Report.txt и вставьте (Ctrl+V) в следующее сообщение, если текст не уместится в одном сообщении, продолжите его в следующем или запакуйте файл C:\Report.txt и прикрепите к сообщению
Описание SDFix есть здесь и здесь

Скачайте Malwarebytes Anti-Malware здесь,здесь, здесь или здесь. Установите, обновите базы, выберите Perform Full Scan (Провести полную проверку), нажмите Scan (Проверить), после сканирования выберите Ок и далее Show Results (Показать результаты), нажмите Remove Selected (удалить выделенные, внимание - проверьте то, что удаляете). После удаления откройте лог и скопируйте в сообщение. Логи сканирования можно посмотреть во вкладке Logs (Отчеты), выбрав отчет и нажав кнопку Open (Открыть)

Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

Установите Recovery Console по инструкции (на англ.яз) - how-to-use-combofix и здесь - скачайте установочный файл для своей ОС (например Windows XP с пакетом обновления 2 (SP2) - для Windows XP SP3 использовать этот же файл) на рабочий стол, закройте все остальные приложения и мышкой перенесите установочный файл на иконку ComboFix и установите Microsoft Recovery Console. Доп. см. Установочные диски для установки с гибкого диска.
После установки консоли восстановления программа предложит запустить сканирование, подтвердите, нажав Yes.
Когда процесс сканирования завершится, скопируйте (Ctrl+A, Ctrl+C) текст из C:\ComboFix.txt и вставьте (Ctrl+V) в следующее сообщение если текст не уместится в одном сообщении, продолжите его в следующем или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.

Внимание! Перед запуском сканирования обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix и не нажимайте кнопки мыши. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер.

Как использовать ComboFix - how-to-use-combofix (на англ.яз.) и здесь (на русском)
Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

Скачайте Gmer, запустите программу. После автоматической экспресс-проверки, отметьте галочкой системный диск и нажмите на кнопку Scan. После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение

[levantin]

O20 - Winlogon Notify: WinCtrl32 - WinCtrl32.dll (file missing) - строки не было

[thyrex]

levantin, скрипт был несколько обновлен (судя по всему поздновато). Попробуйте его выполнить еще раз. И выполните рекомендации Pili в посте №4 (перед Вашим последним сообщением). А потом весь набор логов (AVZ, HiJack делать в последнюю очередь) выкладывайте

[Pili]

levantin, вы ещё и логи старые выложили из лога virusinfo_syscure.zip 1-го поста

Цитата:

Сканирование запущено в 08.04.2009 14:16:18

Из лога 5-го поста

Цитата:

Сканирование запущено в 08.04.2009 14:16:18

Повторите скрипт из 2-го поста, выполните рекомендации из 4-го поста и сделайте новые логи virusinfo_syscheck.zip (2-ой стандартный скрипт AVZ) и hijackthis

[levantin]

SDFix: Version 1.240
Run by Ђ¤¬Ё*Ёбва*в®а on 09.04.2009 at 10:45

Microsoft Windows XP [‚ҐабЁп 5.1.2600]
Running From: D:\antivir\SDFix\SDFix
Лог SDFix. Остальное следует

Checking Services :

Name :
TDSSserv.sys

Path :
\systemroot\system32\drivers\TDSSmaxt.sys

TDSSserv.sys - Deleted



Restoring Default Security Values
Restoring Default Hosts File

Rebooting

[thyrex]

levantin, будьте внимательны. Вас просили

Цитата Pili:

Повторите скрипт из 2-го поста, выполните рекомендации из 4-го поста и сделайте новые логи virusinfo_syscheck.zip (2-ой стандартный скрипт AVZ) и hijackthis »

и выложить все логи, а не приводить выдержки из одного из них

[levantin]

Malw: Дата 01\04\09, Версия 1616, загруж отпечатков 65445 и больше не обновляется