Вирус это или что???

[arman666]

Появились скрытые папки BCC, OGa, файлы vgzjmt.exe, khv, khs ну и autorun.inf, куда же без него Короче после удаления они появляются снова, Dr.Web молчит и NOD32 тоже. Помогите разобраться, сильного вреда от них нет но и приятного тоже мало.

[Белый Сокол]

Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 DelCLSID('0K1DM7IA-210A-36OP-QQS9-431296375110');
 DelCLSID('28ABC5C0-4FCB-11CF-AAX5-21CX3C644242');
 DelCLSID('28ABC5C0-4FCB-11CF-AAX5-81CX1C635612');
 QuarantineFile('c:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\winse32.exe','');
 QuarantineFile('c:\SYSTEM\S-1-5-21-1482476501-1644491937-682003330-1013\OgarD.exe','');
 QuarantineFile('C:\BCC\i\Lsp.exe','');
 QuarantineFile('c:\windows\system32\dirsize.dll','');
 DeleteFile('C:\BCC\i\Lsp.exe');
 DeleteFile('c:\SYSTEM\S-1-5-21-1482476501-1644491937-682003330-1013\OgarD.exe');
 DeleteFile('c:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\winse32.exe');
 BC_ImportAll;
 ExecuteSysClean;
 BC_Activate;
 RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки пришлите попавшие в карантин файлы согласно правилам (для отправки файлов следует воспользоваться ссылкой "Прислать запрошенные файлы" над первым сообщением темы).

Повторите логи.

[arman666]

И что мне делать дальше кто нибудь ответит???

[thyrex]

В сообщения №2 даны все рекомендации. Вы из выполняли?

[arman666]

да я загрузил все файлы из карантина сразу же!

[thyrex]

До конца прочитать не сумели?

Повторите логи.

Это значит сделайте новый комплект логов

[arman666]

Повторил логи. Появился также virusinfo_cure.zip он нужен?

[arman666]

Правда virusinfo_cure.zip пустой..

Добавлено через 2 часа 14 минут

thyrex, куда пропали???

[AndreyKa]

Удалите папки:
c:\SYSTEM
C:\BCC
и файлы:
C:\autorun.inf
D:\autorun.inf
В логах ничего подозрительного нет.
+
Поставьте надежный пароль на учетные записи с правами Администратора.

[arman666]

после удаления всех этих папок со всех дисков они снова появляются потому что в реестре где то тихо сидит какая то тварь вот только поймать я ее незнаю как

[thyrex]

Отчет утилиты GSI сделайте

[arman666]

ок, сейчас

Добавлено через 9 минут

пож-та

блин вот оно

thyrex, ну сделал и че? сами то где??

[Rene-gad]

thyrex, ну сделал и че? сами то где??

А Вы ему зарплату платите? Ждите...

[thyrex]

Выполните скрипт в AVZ

Код:

begin
DeleteFileMask('C:\Temp', '*.*', true);
ExecuteSysClean;
RebootWindows(true);
end.

Компьютер перезагрузится.

Что с проблемой?

[arman666]

короче есть в корне С скрытые файлы zrpara.exe, vgzjmt.exe, khv, khs, autorun.inf и скрытые папка BCC. AVP все енто добро определяет и убивает но вот после перезагрузки все снова на месте!!! Че за фигня??? Удалял вручную все это в том числе папки System Volume Information, Temp, RECYCLER со всех дисков, перезагружался и все бесполезно..

[AndreyKa]

Поставьте надежный пароль на учетные записи с правами Администратора.
Установите обновления безопасности на Windows.
Начать лучше с Service Pack 3 для Windows (может потребоваться активация).
Установите Adobe Acrobat Reader 9.1.3 или удалите старый.
Обновите Java.

[arman666]

а причем здесь acrobat reader? блин у меня сетка небольшая около 20 машин и везде такая история и че делать?

[AndreyKa]

Мне от себя не видно, через какие дыры лезут эти трояны. Вот я перечислил те уязвимости, что в логах видны.

и че делать?

Дыры затыкать.

[thyrex]

+ к AndreyKa

AVP все енто добро определяет

Случайно не как Packed.Win32.Clone.bj?

[arman666]

нет, я не запомнил названия, но после последней точки было .glc - на viruslist.ru описания нет.