[help?]

• HiJackThis Нужно пофиксить эти строки в HiJackThis. Выставив галочки напротив этих пунктов и нажмите кнопку Fix Checked. Как пофиксить в HijackThis

Код:

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\DOCUME~1\9335~1\LOCALS~1\Temp\bldjad.exe

• Скрипт AVZ.
Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\bldjad.exe','');
 DeleteFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\bldjad.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После всех процедур выполните скрипт

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин quarantine.zip. Отправьте полученный файл quarantine.zip из папки AVZ через данную форму. В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus" (без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Результаты ответа, сообщите здесь, в теме.
Повторите логи авз+хайджека.
Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - нажмите "Remove Selected" (удалить выделенные.... смотрите, что удаляете). Откройте лог и скопируйте в сообщение.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

[didmoros]

Malwarebytes' Anti-Malware 1.46

Версия базы данных: 4339

Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.13

23.07.2010 7:59:19

Тип сканирования: Полное сканирование (C:\|D:\|)
Просканированные объекты: 219176
Времени прошло: 33 минут, 37 секунд

Зараженные процессы в памяти: 0
Зараженные модули в памяти: 0
Зараженные ключи в реестре: 0
Зараженные параметры в реестре: 0
Объекты реестра заражены: 3
Зараженные папки: 0
Зараженные файлы: 13

Зараженные процессы в памяти:
(Вредоносных программ не обнаружено)

Зараженные модули в памяти:
(Вредоносных программ не обнаружено)

Зараженные ключи в реестре:
(Вредоносных программ не обнаружено)

Зараженные параметры в реестре:
(Вредоносных программ не обнаружено)

Объекты реестра заражены:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Зараженные папки:
(Вредоносных программ не обнаружено)

Зараженные файлы:
C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\GTVZUZ5E\fyahpnxt[1].bmp (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\Documents and Settings\Администратор\Application Data\Desktopicon\eBayShortcuts.exe (Adware.ADON) -> Quarantined and deleted successfully.
C:\Documents and Settings\Администратор\Рабочий стол\максис\O&O Defrag 12.0 Build 197 Pro Edition Rus\keygen.exe (Backdoor.RBot) -> Quarantined and deleted successfully.
C:\Documents and Settings\Администратор\Рабочий стол\максис\avz\avz4\avz4\Infected\2010-07-23\avz00001.dta (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\Documents and Settings\Администратор\Рабочий стол\максис\avz\avz4\avz4\Infected\2010-07-23\avz00002.dta (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\Downloads\Архивы\rsload.net.Malwarebytes.Anti-Malware.1.46.keygen-FFF\rsload.net.Malwarebytes.Anti-Malware.1.46.keygen-FFF\mbam-setup.exe (Dont.Steal.Our.Software) -> Not selected for removal.
C:\Downloads\Архивы\rsload.net.Malwarebytes.Anti-Malware.1.46.keygen-FFF\rsload.net.Malwarebytes.Anti-Malware.1.46.keygen-FFF\keygen\FFF-MBAM145.exe (Dont.Steal.Our.Software) -> Not selected for removal.
C:\Program Files\Total Commander\Plugins\arc\Default.sfx (Malware.Packer) -> Quarantined and deleted successfully.
C:\Program Files\Total Commander\Utilites\SFX Tool\Upack.exe (Malware.Packer) -> Quarantined and deleted successfully.
C:\SharaDC\Downloads\NoCD\1\Keygen.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\vfp8rrus.dll (Malware.Packer.Gen) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\directx.cpl (Malware.Packer.Gen) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\zkghsfo.dll (Trojan.Dropper) -> Delete on reboot.

[help?]

Cкачайте Gmer или с зеркала. Запустите программу. После автоматической экспресс-проверки, отметьте галочкой все жесткие диски и нажмите на кнопку Scan. После окончания проверки сохраните его лог (нажмите на кнопку Save) под каким хотите именем, например Gmer.log и прикрепите лог сюда.

[didmoros]

вирус снова в действии. не грузятся антивирусные сайты и microsoft

[help?]

Скопируйте нижеприведенный текст в блокнот и сохраните как cleanup.bat в папку, где находится gmer.exe

Код:

gmer.exe -del service swzimof 
gmer.exe -del service gxdgdlol
gmer.exe -del file "C:\WINDOWS\system32\zkghsfo.dll"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\gxdgdlol"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\swzimof"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\gxdgdlol"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\swzimof"
gmer.exe -reboot

И запустите cleanup.bat.Компьютер перезагрузится.
Пуск - Выполнить - Вввести route -f, нажать ОК и перезагрузиться.
Пвторить логи:
авз;
хайджек;
гмер.Даже если доступ появится, не спешите уходить!!

[didmoros]

логи обновил, зараза снова появляется

[Drongo]

didmoros, Выполните следующие рекомендации

Воспользуйтесь графической оболочкой для kidokiller - Quick Killer - GUI для консольных утилит Лаборатории Касперского. Скачайте архив. Запустите утилиту QuickKiller.exe

1. Установите переключатель в положение KidoKiller
2. Установите галочку Записать в лог 'report'
3. Установите галочку Удаление остатков служб оставшихся после вируса
4. По окончании не ждать нажатия любой клавиши...
5. Нажмите кнопку Выполнить

Дождитесь окончания сканирования и после чего в папке из которой был запущен QuickKiller появится лог report-[Kido].txt прикрепите его к сообщению.


• Скачайте SDFix, загрузитесь в безопасном режиме, запустите утилиту (запустить RunThis.bat - подтвердить, нажав "Y"), после окончания сканирования скопируйте текст из C:\Report.txt и вставьте в следующее сообщение или запакуйте файл C:\Report.txt и прикрепите к сообщению
Описание SDFix есть здесь.

• Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.
1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Как использовать ComboFix - how-to-use-combofix
Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

[didmoros]

выполнил

[thyrex]

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.

Код:

KillAll::

File::

Driver::

NetSvc::
zysuq
jmrgmycqn
swzimof
gxdgdlol

Folder::

Registry::
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"2270:TCP"=-

FileLook::

DirLook::

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.