Руткиты

[SAZ]

Нашел через google тему "Не доступен сайт Касперского" на вашем сайте в попытках решить аналогичную проблему, единственно лишь с тем отличием, что в моем случае оказались недоступны все антивирусные сайты, включая virusinfo.info!
После внимательного изучения ваших "правил", выполнил все упомянутые в них подготовительные шаги с соблюдением всех тонкостей.
Сразу же хочу поблагодарить - после AVZ все сайты стали доступны! Но, к сожалению, Gmer после нескольких часов сканирования выдал сообщение о каком-то изменении в системе (забыл записать дословно), после чего окна и рабочий стол стали неуправляемыми и мне не удалось сохранить лог. Пришлось перезагрузить компьютер банальным ресетом. Остались сомнения по поводу руткитов, надеюсь на вашу поддержку и совет.

[thyrex]

У Вас в логах видны следы McAffee и Касперского. Один из них лишний

Пофиксить в HiJack

Код:

R3 - URLSearchHook: (no name) -  - (no file)
F2 - REG:system.ini: Shell=c:\windows\explorer.exe
F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe
O1 - Hosts: ::1 localhost
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O3 - Toolbar: (no name) - {0BF43445-2F28-4351-9252-17FE6E806AA0} - (no file)

Перезагрузиться

Отключите все защитное ПО и попробуйте еще раз сделать лог gmer. Если не получится, сделайте в безопасном режиме

[SAZ]

К сожалению, я не разобрался как "Пофиксить в HiJack". Нашел совет здесь
http://virusinfo.info/showthread.php?t=4491 , но там речь идет о строках скрипта на 023...
Удалил (если верить сообщениям утилиты) при помощи McAfee Cleanup "следы" этого антивирусника, использовавшегося пару лет назад.

Оставил на ночь сканировать Gmer, но с отключенным Интернет. Снова после нескольких часов сканирования появилось сообщение "GMER has found system modification caused by ROOTKIT activity", но лог файл на сей раз сохранить удалось и компьютер ведет себя вполне прилично. Но одна странность, как минимум, обнаруживается - устанавливаю в свойствах папки "Показывать скрытые файлы и папки", сохраняю (Применить, ОК), открываю вновь и вижу отсутствие результата, т.е. "Не показывать скрытые файлы и папки".

[Макcим]

Выполните скрипт в AVZ

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 StopService('tcctcfyj');
 DeleteService('tcctcfyj'); 
 RegKeyDel('HKLM', 'SYSTEM\CurrentControlSet\Services\tcctcfyj');
 RegKeyDel('HKLM', 'SYSTEM\ControlSet003\Services\tcctcfyj');
 BC_QrFile('C:\WINDOWS\system32\qgqtdq.dll');
 BC_DeleteFile('C:\WINDOWS\system32\qgqtdq.dll');
 BC_Activate;
 ExecuteWizard('TSW', 1, 1, true);
 ExecuteWizard('BT', 1, 1, true);
 RebootWindows(false);
end.

Загрузите карантин согласно приложению №3 правил. Сделайте свежий лог Gmer.

[SAZ]

Cкрипт в AVZ выполнил.
Загрузил карантин согласно приложению №3 правил.

Запустил Gmer для создания нового лога. Процесс длительный, по окончанию вышлю новый лог.

[SAZ]

На всякий случай, краткий лог Gmer до нажатия кнопки Scan(диск С)

[Белый Сокол]

Данный лог не будет полезен, нужен лог после сканирования.

[SAZ]

Свежий лог Gmer.
Сообщения "GMER has found system modification caused by ROOTKIT activity" уже не было.

[vegas]

Сохраните текст ниже как cleanup.bat в ту же папку, где находится kbm4ilzn.exe (gmer)

Код:

kbm4ilzn.exe -del file "C:\WINDOWS\system32\qgqtdq.dll"
kbm4ilzn.exe -del service tcctcfyj
kbm4ilzn.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\tcctcfyj"
kbm4ilzn.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\tcctcfyj"
kbm4ilzn.exe -reboot

И запустите cleanup.bat
Компьютер перезагрузится. Лог Gmer повторите

[SAZ]

Выполнил cleanup.bat
Строка kbm4ilzn.exe -del file "C:\WINDOWS\system32\qgqtdq.dll" не выполнилась, поскольку файл уже был удален предыдущими процедурами.
Строка kbm4ilzn.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\tcctcf yj" не выполнилась, вероятно, по той же самой причине.

Очередной Лог Gmer будет готов через несколько часов...

[SAZ]

Очередной лог Gmer.

[Макcим]

Лог в порядке.

Проведите пожалуйста процедуру, описанную в первом сообщении http://virusinfo.info/showthread.php?t=3519

Удачи!

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 1
• В ходе лечения вредоносные программы в карантинах не обнаружены