Posmotrite logi

[mrHill]

Posmotrite logi, pls. Ne mogu daje perekluchit' raskladku klaviatury

[thyrex]

Выполните скрипт в AVZ

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\regedit.exe','');
 DeleteService('pibeelut');
 DeleteService('tueag67ai5souau');
 QuarantineFile('0000094F.sys','');
 TerminateProcessByName('c:\windows\system32\wuaucldt.exe');
 QuarantineFile('c:\program files\internet explorer\wmpscfgs.exe','');
 QuarantineFile('c:\documents and settings\admin\wuaucldt.exe','');
 QuarantineFile('C:\Documents and Settings\Admin\Application Data\mnryv.exe,C:\Documents and Settings\Admin\Application Data\fxembk.exe,C:\Documents and Settings\Admin\Application Data\vuout.exe,C:\Documents and Settings\Admin\csrss.exe,explorer.exe,C:\Documents and Settings\Admin\Application Data\jlwcbb.exe','');
 QuarantineFile('C:\Documents and Settings\Admin\Application Data\mnryv.exe','');
 QuarantineFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\zjexkuzbrps.sys','');
 QuarantineFile('C:\WINDOWS\system32\DRIVERS\cdrom.sys','');
 QuarantineFile('C:\WINDOWS\system32\zoodobousyv.exe','');
 QuarantineFile('c:\windows\system32\wuaucldt.exe','');
 DeleteFile('c:\windows\system32\wuaucldt.exe');
 DeleteFile('C:\WINDOWS\system32\zoodobousyv.exe');
 DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\zjexkuzbrps.sys');
 DeleteFile('C:\Documents and Settings\Admin\Application Data\mnryv.exe');
 DeleteFile('C:\Documents and Settings\Admin\Application Data\mnryv.exe,C:\Documents and Settings\Admin\Application Data\fxembk.exe,C:\Documents and Settings\Admin\Application Data\vuout.exe,C:\Documents and Settings\Admin\csrss.exe,explorer.exe,C:\Documents and Settings\Admin\Application Data\jlwcbb.exe');
 DeleteFile('c:\documents and settings\admin\wuaucldt.exe');
 DeleteFile('c:\program files\internet explorer\wmpscfgs.exe');
 DeleteFile('0000094F.sys');
 DeleteFile('C:\WINDOWS\system32\regedit.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Regedit32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','syncman');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Adobe_Reader');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','syncman');
DeleteFileMask('%windir%\Tasks', 'At*.job', true);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteREpair(17);
RebootWindows(true);
end.

Компьютер перезагрузится.

Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

Сделайте новые логи + лог http://virusinfo.info/showpost.php?p=493610&postcount=1

[mrHill]

После выполнения скрипта перестал грузиться в обычном режиме, вылетает в синий экран (IRGL_NOT_LESS_OR_EQUAL)

[thyrex]

В безопасном режиме?

[mrHill]

в безопасном грузиться, а в обычном нет

[thyrex]

Выполните рекомендации после скрипта из безопасного режима

[mrHill]

Ок.

Добавлено через 17 минут

карантин отослал. Сейчас сделаю логи

[mrHill]

New log's

[thyrex]

c:\windows\system32\drivers\cdrom.sys запакуйте с паролем virus и пришлите по красной ссылке Прислать запрошенный карантин вверху темы

В имена этих файлов вирус добавил лишние пробелы перед расширением. Удалите лишние пробелы и верните файлам их настоящие имена

Код:

<pre>
c:\program files\Adobe\Reader 9.0\Reader\reader_sl .exe
c:\program files\BlazeVideo\BlazeDVD\mediadetector .exe
c:\program files\Download Master\dmaster .exe
c:\program files\ESET\ESET NOD32 Antivirus\egui .exe
c:\program files\Realtek\InstallShield\azmixersel .exe
c:\program files\VistaDriveIcon\vistadrv .exe
c:\windows\system32\ctfmon .exe
c:\windows\system32\hkcmd .exe
c:\windows\system32\igfxpers .exe
c:\windows\system32\igfxtray .exe
</pre>

Вполне возможно, что переключение языков заработает

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.

Код:

KillAll::

File::
c:\windows\system32\dedahikous.exe

Driver::
xoib6k3yudo

Folder::

Registry::

FileLook::
c:\windows\system32\drivers\cdrom.sys

DirLook::

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.

[mrHill]

переключение раскладки клавиатуры заработало. Не удается заархивировать cdrom.sys - отказано в доступе

[thyrex]

Выполните скрипт для ComboFix

Далее:
1. Загрузитесь с LiveCD или подключите винчестер к другому компьютеру
2. Скопируйте c:\windows\system32\drivers\cdrom.sys в другую папку и переименуйте
3. Запакуйте переименованный файл с паролем virus и пришлите по красной ссылке Прислать запрошенный карантин вверху темы

[mrHill]

карантин выслал

[thyrex]

Ничего нового от Вас не получено

[mrHill]

карантин virus.rar, в нем cdrom.sys
сейчас повторю

Добавлено через 1 минуту

извините, не обратил внимания, что разрешена загрузка только zip файлов. Сейчас повторю

Добавлено через 15 минут

отправил

[thyrex]

c:\windows\system32\drivers\cdrom.sys замените чистым с дистрибутива http://virusinfo.info/showthread.php?t=51654

Сделайте еще раз лог ComboFix

[mrHill]

Новый лог

[thyrex]

В логе плохого не видно

В нормальном режиме компьютер запускается?

[mrHill]

В нормальном режиме запускается, только опять пропало переключение раскладки клавиатуры, языковой панели нет на панели задач. В настройках "языки и рег.стандарты" кнопка "языковая панель" не доступна.

[thyrex]

Запакуйте, пожалуйста, папку C:\Qoobox с паролем virus и пришлите на thyrex2002<at>tut.by (at=@) с указанной ссылкой на тему.

Удалите ComboFix

Скачайте архив во вложении, распакуйте и внесите информацию в реестр (двойной клик левой кнопкой мыши + подтверждение)

Языковая панель появилась?

[mrHill]

Ok

Добавлено через 35 секунд

Сейчас выполню

Добавлено через 27 минут

Письмо отослал, ComboFix удалил. В архиве файk ctfmon[1]. Я понимаю так, что это exe файл?