[Drongo]

BaLaMuTt, Выполните рекомендации и прикрепите к следующему сообщению полученные логи.

[BaLaMuTt]

ОК. Логи сделал, прикладываю. Прикрепите где-нибудь, что для того чтобы снять нагрузку с проца от этой заразы на время лечения пусть убивают службы "Запуск серверных процессов DCOM" и "Службы терминалов". Мне во всяком случае помогло.

[iskander-k]

1. Отключите интернет и локальную сеть если таковая имеется.
2. Очистите временные файлы.
   Очистите временные файлы через Пуск - Программы - Стандартные - Служебные - Очистка диска или с помощью ATF Cleaner.
   • Скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
   • Если вы используете Firefox, нажмите Firefox - Select All - Empty Selected.
   • Нажмите No, если вы хотите оставить ваши сохраненные пароли.
   • Если вы используете Opera, нажмите Opera - Select All - Empty Selected.
   • Нажмите No, если вы хотите оставить ваши сохраненные пароли.
3. Восстановление системы. Создание новой контрольной точки восстановления и очистка предыдущих.
   
   • Очистка всех предыдущих точек восстановления: Нажмите Пуск > Программы > Стандартные > Служебные > Очистка диска, выберите системный диск, на вкладке Дополнительно > Восстановление системы нажмите Очистить, нажмите Да для очистки всех точек восстановления, кроме последней.

* Подробнее можно прочитать в этой теме.

• HiJackThis. Нужно пофиксить эти строки в HiJackThis. Выставив галочки напротив этих пунктов и нажмите кнопку Fix Checked. Как пофиксить в HijackThis

Код:

R3 - URLSearchHook: (no name) - - (no file)
O3 - Toolbar: (no name) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - (no file)
 O4 - Startup: sisgbi32.exe

• Скрипт AVZ.
Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('c:\windows\svchost.exe','');
 QuarantineFile('c:\docume~1\balamutt\locals~1\temp\sputnikinstaller.exe','');
 QuarantineFile('c:\program files\urltoolbho\js.dll','');
QuarantineFile('C:\WINDOWS\System32\Drivers\ai8lc54i.SYS','');
 QuarantineFile('C:\Documents and Settings\BaLaMuTt\Главное меню\Программы\Автозагрузка\sisgbi32.exe','');
 QuarantineFile('C:\WINDOWS\system32\mdm.exe','');
QuarantineFile('c:\program files\urltoolbho\js.dll','');
 QuarantineFile('GetBINFile.sys','');
 DeleteFile('GetBINFile.sys');
 DeleteFile('c:\program files\urltoolbho\js.dll');
 DeleteFile('C:\WINDOWS\system32\mdm.exe');
 DeleteFile('C:\Documents and Settings\BaLaMuTt\Главное меню\Программы\Автозагрузка\sisgbi32.exe');
 DeleteFile('C:\WINDOWS\System32\Drivers\ai8lc54i.SYS');
 DeleteFile('c:\windows\svchost.exe');
 DeleteFile('c:\docume~1\balamutt\locals~1\temp\sputnikinstaller.exe');
 DeleteFile('c:\program files\urltoolbho\js.dll');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\RunOnce','Sputnik@Mail.Ru');
 DeleteService('powermanager');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('ai8lc54i.');
BC_Activate;
 ExecuteRepair(1);
 ExecuteRepair(8);
RebootWindows(true);
end.

После всех процедур выполните скрипт

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин quarantine.zip. Отправьте полученный файл quarantine.zip из папки AVZ через данную форму. В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus" (без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Результаты ответа, сообщите здесь, в теме.

[BaLaMuTt]

Спасибо. Правда вместо ATF Cleaner я использовал СCleaner но разница невелика. В сё работает. sisgbi32.exe из автозагрузки убрал.

[iskander-k]

Ждем ответа из лаборатории.

[BaLaMuTt]

Из лаборатории ответа пока не приходило но вот из-за этой заразы возникла трабла с огнелисом - звука нету и восстановить пока никак не получается.