[thyrex]

Пофиксите в HiJack

Код:

F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,c:\windows\system32\ntos.exe,c:\windows\system32\actcontroller.exe,c:\windows\system32\85a94bd1.exe,\\?\globalroot\systemroot\system32\9pn4th7.exe,\\?\globalroot\systemroot\system32\a2l8tft.exe,
O2 - BHO: (no name) - {4B65A05F-5C7B-4F53-9CC1-7100E06149BC} - (no file)
O2 - BHO: Flash Module - {B9249083-6055-476c-A69D-13E110BFEA91} - tconn1.dll (file missing)
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)

Выполните скрипт в AVZ

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\windows\system32\actcontroller.exe','');
 QuarantineFile('c:\windows\system32\ntos.exe','');
 QuarantineFile('c:\windows\system32\85a94bd1.exe','');
 QuarantineFile('C:\WINDOWS\system32\drivers\runtime2.sys','');
 QuarantineFile('C:\WINDOWS\System32\drivers\protect.sys','');
 QuarantineFile('msupdate.sys','');
 QuarantineFile('ICF.sys','');
 DeleteFile('msupdate.sys');
 DeleteFile('C:\WINDOWS\System32\drivers\protect.sys');
 DeleteFile('C:\WINDOWS\system32\drivers\runtime2.sys');
 DeleteFile('c:\windows\system32\85a94bd1.exe');
 DeleteFile('c:\windows\system32\ntos.exe');
 DeleteFile('c:\windows\system32\actcontroller.exe');
DeleteService('runtime2');
 DeleteService('ICF');
DeleteService('protect');
 DeleteService('msupdate');
 DeleteFile('ICF.sys');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(20);
RebootWindows(true);
end.

Компьютер перезагрузится.

Выполните скрипт в AVZ

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

quarantine.zip из папки AVZ отправьте через форму http://support.kaspersky.ru/virlab/helpdesk.html. В строке "Подробное описание возникшей ситуации:" напишите пароль на архив "virus" (без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Полученный ответ сообщите здесь.

Сделайте новые логи

[Ixtance]

Спасибо, проблема решена. Писать ответ лаборатории Касперского, равно как и прикреплять новые логи, думаю, не имеет смысла.

[Drongo]

Ixtance, Имеет, имеет. Нужно удостовериться, что нигде ничего не забыто. Это как проверка, что хирург в животе скальпель случайно не оставил.

[Ixtance]

Хорошо.

[thyrex]

Пофиксите в HiJack

Код:

 F2 - REG:system.ini: Shell=Explorer.exe rundll32.exe
F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,\\?\globalroot\systemroot\system32\7WaV7FU.exe,

Выполните скрипт в AVZ

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('\\?\globalroot\systemroot\system32\7WaV7FU.exe','');
 DeleteFile('\\?\globalroot\systemroot\system32\7WaV7FU.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(16);
RebootWindows(true);
end.

Компьютер перезагрузится.

Выполните скрипт в AVZ

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

quarantine.zip из папки AVZ отправьте через форму http://support.kaspersky.ru/virlab/helpdesk.html. В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus"(без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Полученный ответ сообщите здесь.

Выполните скрипт в AVZ

Код:

var j:integer; NumStr:string;
begin
for j:=0 to 999 do
 begin
    if j=0 then
        NumStr:='CurrentControlSet' else 
        if j<10 then
            NumStr:='ControlSet00'+IntToStr(j) else
            if j<100 then
                NumStr:='ControlSet0'+IntToStr(j) else
                NumStr:='ControlSet'+IntToStr(j);
 if RegKeyExistsEx('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv') then
  begin 
  RegKeyResetSecurity('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv');
  RegKeyStrParamWrite('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs');
  AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+NumStr+'\Services\wuauserv исправлено на оригинальное.');
  end;
 end;
SaveLog(GetAVZDirectory + 'wuauserv.log');
end.

Лог wuauserv.log прикрепите к сообщению

Сделайте новые логи

Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет, пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, C:\ComboFix.txt прикрепите к сообщению.

[Ixtance]

Сделал.

[thyrex]

Лог ComboFix где? В этих логах ничего подозрительного

[Ixtance]

Извиняюсь, забыл.

[thyrex]

c:\windows\system32\srsvc.dll проверьте на virustotal
Ссылку на результат проверки сообщите