[zirreX]

Код:

Platform: Windows XP SP2 (WinNT 5.01.2600)  MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Установите Internet Explorer 8 и Service Pack 3 для Windows XP (потребуется активация)

Перед выполнением скрипта отключите защитное ПО (антивирус, файрволл)

Запустите AVZ и обновите базы (Файл -> Обновление баз)
AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\DOCUME~1\86C2~1\LOCALS~1\Temp\RtkBtMnt.exe','');
QuarantineFile('C:\Documents and Settings\Пользователь\vaajol.exe ','');
DeleteFile('C:\Documents and Settings\Пользователь\vaajol.exe ');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится!

После перезагрузки выполните такой скрипт

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин. Отправьте c:\quarantine.zip на адрес quarantine@virusnet.info, в названии темы укажите – "Проверка карантина". В теле сообщения укажите адрес своей темы на форуме. Результаты ответа сообщите здесь, в теме.


Скачайте утилиту Sality Killer.Распакуйте и запустите SalityKiller.exe, дождитесь окончания работы утилиты.

Скачайте Sality RegKeys.
Распакуйте и запустите эти файлы:
Disable autorun.reg - отключает автозапуск со съемных носителей
SafeBootWinXP.reg - восстанавливает запуск в безопасном режиме (Safe Boot)

В обоих случаях нажмите Да для подтверждения добавления информации в реестр

Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду Combofix /Uninstall, нажмите кнопку "ОК"


Скачайте OTCleanIt или с зеркала, запустите, нажмите Clean up

Подготовьте лог RSIT:
Скачайте RSIT или c зеркала. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

[seman]

Fedin,
логи

[zirreX]

Вы сегодня устанавливали драйвера ATI?

[zirreX]

Рекомендации выполнили? SalityKiller запускали?

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\003019_.tmp','');
QuarantineFile('C:\WINDOWS\system32\97efff.exe','');
QuarantineFile('C:\WINDOWS\system32\wmicvrts.exe','');                                
DeleteFile('C:\WINDOWS\system32\wmicvrts.exe');                                        
DeleteFile('C:\WINDOWS\system32\97efff.exe');
RegKeyDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Control\SafeBoot\network\{1a3e09be-1e45-494b-9174-d7385b45bbf5');                              
RegKeyParamDel('HKEY_LOCAL_MACHINE','software\microsoft\shared tools\msconfig\startupreg','Microsoft(R) System Manager');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится!

После перезагрузки выполните такой скрипт

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин. Отправьте c:\quarantine.zip на адрес quarantine@virusnet.info, в названии темы укажите – "Проверка карантина". В теле сообщения укажите адрес своей темы на форуме. Результаты ответа сообщите здесь, в теме.

[seman]

Fedin,

Цитата Fedin:

Вы сегодня устанавливали драйвера ATI? »

нет. драва не ставил. все рекомендации выше выполнил.

Fedin,
C:\DOCUME~1\86C2~1\LOCALS~1\Temp\RtkBtMnt.exe

здесь по-прежнему появляется этот файл

отправил на virustotal - все чисто

[zirreX]

Цитата seman:

C:\DOCUME~1\86C2~1\LOCALS~1\Temp\RtkBtMnt.exe здесь по-прежнему появляется этот файл отправил на virustotal - все чисто »

Ничего страшного, он от Realtek.

Что с проблемами?Как работает система?

[zirreX]

Каким из этих антивирусов пользуетесь?Удалите ненужный.

Код:

avast! Antivirus
Symantec AntiVirus Corporate Edition

Обновите Adobe Reader до 9-й версии

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.

[seman]

Fedin,

Цитата Fedin:

Что с проблемами?Как работает система? »

все хорошо.

Цитата Fedin:

Каким из этих антивирусов пользуетесь?Удалите ненужный. »

пользуюсь avast! Antivirus. symantec не удается убрать.
пробовал через консоль удаление, прерывается и закрывается.
убрал все ключи в реестре связанных с этой прогой, запустил symantec uninstall, вроде бы проработала удалила якобы все службы, но по логам видно остатки все таки.

Цитата Fedin:

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту. »

все чисто, ничего не нашел

[zirreX]

Скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
если вы используете Firefox, нажмите Firefox - Select All - Empty Selected
нажмите No, если вы хотите оставить ваши сохраненные пароли
если вы используете Opera, нажмите Opera - Select All - Empty Selected
нажмите No, если вы хотите оставить ваши сохраненные пароли.

Создайте новую контрольную точку восстановления и удалите зараженную:
1. Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно - Восстановление системы нажмите Очистить
2. Нажмите Пуск- Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать.



Для предотвращения заражения рекомендую вам придерживаться этих правил:
1.Не работайте с правами администратора
2.Используйте браузер Firefox с дополнением NoScript
Если вы используете браузер Internet Explorer, отключите в нем ActiveX (Сервис -> свойства обозревателя -> безопасность -> другой -> запуск элементов ActiveX и модулей подключения
3.Устанавливайте все важные обновления Windows.
4.Ежедневно обновляйте антивирусные базы.