ещё один потерпевший

[Shalimov]

Вообщем пока я ходил ту машину уже увалили, но имеется ещё один потерпевший и ситуация там на момент моего прихода была следующая: местные "хакеры" восстановили защищённый режим, пролечили в нём всё CureIt-ом, а в основном режиме установили в автозагрузку утилиту sality_off от Лаборатории Касперского.

Я запустил полную проверку CureIt с CD в защищённом режиме - действительно, диск как будто чист; предварительно обнулённые с загрузочного диска disable-ключи диспечера задач и редактора реестра позволяют их запуск, однако при загрузке в обычном режиме диспечер задач и редактор реестра становятся вновь недоступны а в окне утилиты sality_off регистрируются попытки заражения exe файлов автозапуска

Складывается впечатление, будто какой-то зловред, активный только в основном режиме собирает Sality из отдельных частей, недетектируемых по отдельности, и запускает его...

Логи AVZ(evrika.pif) с машины прилагаю(забыл хайджекзис но обещаю в скорости управится):

[Rene-gad]

Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.

- Выполните скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DelBHO('{FFFC57DB-1DE3-4303-B24D-CEE6DCDD3D86}');
 QuarantineFile('C:\WINDOWS\system32\explorer.exe','');
 DeleteFile('C:\PROGRA~1\MYCENT~1\InfoBar\MYCENT~1.DLL');
 DeleteFile('C:\WINDOWS\system32\explorer.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 2 правил).
- Прикрепите логи к новому сообщению.