вылетает svchost.exe

[freecorn]

посмотрите логи, пожалуйста

[Bratez]

Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\System32\ntmsevt','');
 QuarantineFile('C:\WINDOWS\System32\lserver.exe','');
 QuarantineFile('C:\WINDOWS\System32\ws03res.dll','');
 QuarantineFile('C:\Documents and Settings\User.MANAGER-4\User.exe','');
 QuarantineFile('C:\WINDOWS\system32\w03a2409.dll','');
 DeleteFile('C:\Documents and Settings\User.MANAGER-4\User.exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=58539).

Сделайте лог gmer.

[snifer67]

Перед выполнением скрипта Bratez ,выключите восстановление системы.

[freecorn]

карантин пустой, ибо

Код:

Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\System32\ntmsevt)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\System32\ntmsevt)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\System32\lserver.exe)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\System32\lserver.exe)
Карантин с использованием прямого чтения - ошибка
Выполнен карантин файла C:\WINDOWS\System32\ws03res.dll
Ошибка карантина файла, попытка прямого чтения (C:\Documents and Settings\User.MANAGER-4\User.exe)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (C:\Documents and Settings\User.MANAGER-4\User.exe)
Карантин с использованием прямого чтения - ошибка

логи жмера прилагаю

[Bratez]

Ну так ведь -

Выполнен карантин файла C:\WINDOWS\System32\ws03res.dll

Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\jxkkp.dll','');
DeleteFile('C:\WINDOWS\system32\jxkkp.dll');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RegKeyResetSecurity('HKLM', 'SYSTEM\CurrentControlSet\Services\gibmok');
RegKeyResetSecurity('HKLM', 'SYSTEM\ControlSet004\Services\gibmok');
RegKeyResetSecurity('HKLM', 'SYSTEM\CurrentControlSet\Services\gibmok\Parameters');
RegKeyResetSecurity('HKLM', 'SYSTEM\ControlSet004\Services\gibmok\Parameters');
RegKeyDel('HKLM', 'SYSTEM\CurrentControlSet\Services\gibmok');
RegKeyDel('HKLM', 'SYSTEM\ControlSet004\Services\gibmok');
RebootWindows(true);
end.

Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил.

Повторите п.2 Диагностики и лог gmer.

[freecorn]

выполнил скрипт 2 раза.
второй без строки RebootWindows(true); (чтобы посмотреть ошибки) и с выключеным антивирусом.

Код:

Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\system32\jxkkp.dll)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\system32\jxkkp.dll)
Карантин с использованием прямого чтения - ошибка
Удаление файла:C:\WINDOWS\system32\jxkkp.dll
>>>Для удаления файла C:\WINDOWS\system32\jxkkp.dll необходима перезагрузка

Ну так ведь -

Выполнен карантин файла C:\WINDOWS\System32\ws03res.dll

хоть и пишет что файл помещен в карантин - в карантине пусто

[Bratez]

Ну пусто так пусто.
Ждем логи.

[freecorn]

вот логи.

[Bratez]

Отключите восстановление системы!
Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\DOCUME~1\USER~1.MAN\LOCALS~1\Temp\fwriqpow.sys','');
 DeleteFile('C:\DOCUME~1\USER~1.MAN\LOCALS~1\Temp\fwriqpow.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил.
Повторите п.2 Диагностики.

[freecorn]

карантин опять же пуст.
хотя выдало, что файл
'C:\DOCUME~1\USER~1.MAN\LOCALS~1\Temp\fwriqpow.sys ' удален

[Bratez]

Теперь чисто.
Восстановление таки отключите, для профилактики.
Потом можете включить обратно.