WMSetup и все-все-все...

Поймал subj. Одновременно с ним - куча файлов с расширениями .dll и .sys в C:\WINDOWS\system32\. CureIt обнаруживает, говорит, что удаляет, просит перегрузиться... и все остается на своих местах...:(
Прошу помощи.

м - да .... "рука бойца колоть устала ...."
сп1 + отсутствие антивируса ...
віполните скрипт ...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{9490415F-65F8-B5C5-D8BA-9405FB120549}');
DelBHO('{91698482-6555-3666-1222-954784129019}');
DelBHO('{83BA45AF-FAAA-CDDD-BEEE-BCDE1234AB38}');
DelBHO('{81954FAC-1023-154F-895A-1458258AD818}');
DelBHO('{6319A1F1-9410-9654-3201-345FFA349136}');
DelBHO('{5A069845-2036-6084-9054-6087502480A5}');
DelBHO('{55694105-5108-9405-3695-954187462155}');
DelBHO('{50940F85-F015-14F1-A05F-F69858AC6D05}');
DelBHO('{4FD45A54-9875-698F-E56E-65102358FDF4}');
DelBHO('{37AC9076-C898-B098-D098-A18319080973}');
DelBHO('{33512378-9874-5641-1025-985420368733}');
DelBHO('{32023698-6984-8541-9654-698745012523}');
DelBHO('{2B69874A-C58C-458D-69F0-698F874E41B2}');
DelBHO('{22596546-2036-9451-6058-658402589722}');
DelBHO('{13FD5987-65D2-C58D-D87E-987451F12531}');
QuarantineFile('C:\WINDOWS\TEMP\wmsetup.dll','');
QuarantineFile('C:\WINDOWS\System32\zywmfime.dll','');
QuarantineFile('C:\WINDOWS\System32\zxptejpg.dll','');
QuarantineFile('C:\WINDOWS\System32\zptlcsys.dll','');
QuarantineFile('C:\WINDOWS\System32\zdesfx.dll','');
QuarantineFile('C:\WINDOWS\System32\yzztimsn.dll','');
QuarantineFile('C:\WINDOWS\System32\yxfhcjpg.dll','');
QuarantineFile('C:\WINDOWS\System32\ypdjfbmp.dll','');
QuarantineFile('C:\WINDOWS\System32\ydgn.dll','');
QuarantineFile('C:\WINDOWS\System32\xfgnfx.dll','');
QuarantineFile('C:\WINDOWS\System32\xdhdg.dll','');
QuarantineFile('C:\WINDOWS\System32\wyrsdj.dll','');
QuarantineFile('C:\WINDOWS\System32\ukrth.dll','');
QuarantineFile('C:\WINDOWS\System32\thef.dll','');
QuarantineFile('C:\WINDOWS\System32\swsxachu.dll','');
QuarantineFile('C:\WINDOWS\System32\sthth.dll','');
QuarantineFile('C:\WINDOWS\System32\skqncbib.dll','');
QuarantineFile('C:\WINDOWS\System32\sefawe.dll','');
QuarantineFile('C:\WINDOWS\System32\ozfyebyt.dll','');
QuarantineFile('C:\WINDOWS\System32\oswxcttb.dll','');
QuarantineFile('C:\WINDOWS\System32\oqrthc.dll','');
QuarantineFile('C:\WINDOWS\System32\opshbbty.dll','');
QuarantineFile('C:\WINDOWS\System32\njritc.dll','');
QuarantineFile('C:\WINDOWS\System32\nhmxcjkl.dll','');
QuarantineFile('C:\WINDOWS\System32\mpwdeapi.dll','');
QuarantineFile('C:\WINDOWS\System32\lassaplo.dll','');
QuarantineFile('C:\WINDOWS\System32\lariytrz.dll','');
QuarantineFile('C:\WINDOWS\System32\kduy.dll','');
QuarantineFile('C:\WINDOWS\System32\jkhjsd.dll','');
QuarantineFile('C:\WINDOWS\System32\jhrcar.dll','');
QuarantineFile('C:\WINDOWS\System32\hjmh.dll','');
QuarantineFile('C:\WINDOWS\System32\hjk.dll','');
QuarantineFile('C:\WINDOWS\System32\hhrdxd.dll','');
QuarantineFile('C:\WINDOWS\System32\hgfhk.dll','');
QuarantineFile('C:\WINDOWS\System32\hfrdzx.dll','');
QuarantineFile('C:\WINDOWS\System32\gjbhr.dll','');
QuarantineFile('C:\WINDOWS\System32\fydgky.dll','');
QuarantineFile('C:\WINDOWS\System32\dtrgjy.dll','');
QuarantineFile('C:\WINDOWS\System32\dehkj.dll','');
QuarantineFile('C:\WINDOWS\System32\crugd.dll','');
QuarantineFile('C:\WINDOWS\System32\apsgdjba.dll','');
QuarantineFile('C:\WINDOWS\linkinfo.dll','');
QuarantineFile('C:\DOCUME~2\Father\LOCALS~1\Temp\wmsetup.dll','');
DeleteFile('C:\DOCUME~2\Father\LOCALS~1\Temp\wmsetup.dll');
DeleteFile('C:\WINDOWS\System32\apsgdjba.dll');
DeleteFile('C:\WINDOWS\System32\crugd.dll');
DeleteFile('C:\WINDOWS\System32\dehkj.dll');
DeleteFile('C:\WINDOWS\System32\dtrgjy.dll');
DeleteFile('C:\WINDOWS\System32\fydgky.dll');
DeleteFile('C:\WINDOWS\System32\gjbhr.dll');
DeleteFile('C:\WINDOWS\System32\hfrdzx.dll');
DeleteFile('C:\WINDOWS\System32\hgfhk.dll');
DeleteFile('C:\WINDOWS\System32\hhrdxd.dll');
DeleteFile('C:\WINDOWS\System32\hjk.dll');
DeleteFile('C:\WINDOWS\System32\hjmh.dll');
DeleteFile('C:\WINDOWS\System32\jhrcar.dll');
DeleteFile('C:\WINDOWS\System32\jkhjsd.dll');
DeleteFile('C:\WINDOWS\System32\kduy.dll');
DeleteFile('C:\WINDOWS\System32\lariytrz.dll');
DeleteFile('C:\WINDOWS\System32\lassaplo.dll');
DeleteFile('C:\WINDOWS\System32\mpwdeapi.dll');
DeleteFile('C:\WINDOWS\System32\nhmxcjkl.dll');
DeleteFile('C:\WINDOWS\System32\njritc.dll');
DeleteFile('C:\WINDOWS\System32\opshbbty.dll');
DeleteFile('C:\WINDOWS\System32\oqrthc.dll');
DeleteFile('C:\WINDOWS\System32\oswxcttb.dll');
DeleteFile('C:\WINDOWS\System32\ozfyebyt.dll');
DeleteFile('C:\WINDOWS\System32\skqncbib.dll');
DeleteFile('C:\WINDOWS\System32\sthth.dll');
DeleteFile('C:\WINDOWS\System32\swsxachu.dll');
DeleteFile('C:\WINDOWS\System32\thef.dll');
DeleteFile('C:\WINDOWS\System32\ukrth.dll');
DeleteFile('C:\WINDOWS\System32\wyrsdj.dll');
DeleteFile('C:\WINDOWS\System32\xdhdg.dll');
DeleteFile('C:\WINDOWS\System32\xfgnfx.dll');
DeleteFile('C:\WINDOWS\System32\ydgn.dll');
DeleteFile('C:\WINDOWS\System32\ypdjfbmp.dll');
DeleteFile('C:\WINDOWS\System32\yxfhcjpg.dll');
DeleteFile('C:\WINDOWS\System32\yzztimsn.dll');
DeleteFile('C:\WINDOWS\System32\zdesfx.dll');
DeleteFile('C:\WINDOWS\System32\zptlcsys.dll');
DeleteFile('C:\WINDOWS\System32\zxptejpg.dll');
DeleteFile('C:\WINDOWS\System32\zywmfime.dll');
DeleteFile('C:\WINDOWS\TEMP\wmsetup.dll');
DeleteFile('awef.dll');
DeleteFile('bjrvm.dll');
DeleteFile('bnxnb.dll');
DeleteFile('cdxbfxdb.dll');
DeleteFile('chmfcmh.dll');
DeleteFile('dbfb.dll');
DeleteFile('dfhsh.dll');
DeleteFile('dhugtj.dll');
DeleteFile('dnteh.dll');
DeleteFile('drghszd.dll');
DeleteFile('dscef.dll');
DeleteFile('ektvm.dll');
DeleteFile('ethsh.dll');
DeleteFile('fhjfg.dll');
DeleteFile('fjyjy.dll');
DeleteFile('fngn.dll');
DeleteFile('frntrn.dll');
DeleteFile('fxgnfx.dll');
DeleteFile('fxnfnh.dll');
DeleteFile('gfcfg.dll');
DeleteFile('gjkhj.dll');
DeleteFile('gmnait.dll');
DeleteFile('hfjg.dll');
DeleteFile('hfther.dll');
DeleteFile('hgnmjsdg.dll');
DeleteFile('hjaiq.dll');
DeleteFile('hjtdrh.dll');
DeleteFile('hkfgh.dll');
DeleteFile('hyjmt.dll');
DeleteFile('ijatnaw.dll');
DeleteFile('jwlah.dll');
DeleteFile('jzijj.dll');
DeleteFile('mrjhtjd.dll');
DeleteFile('qrhhb.dll');
DeleteFile('rdthr.dll');
DeleteFile('rgghjj.dll');
DeleteFile('rhs.dll');
DeleteFile('sehhter.dll');
DeleteFile('serger.dll');
DeleteFile('serghjm.dll');
DeleteFile('setrhes.dll');
DeleteFile('stehs.dll');
DeleteFile('thsddh.dll');
DeleteFile('tjdegtr.dll');
DeleteFile('uyjtd.dll');
DeleteFile('wfhyt.dll');
DeleteFile('xbcvxb.dll');
DeleteFile('xdfntt.dll');
DeleteFile('xdndn.dll');
DeleteFile('xfgnhcgfm.dll');
DeleteFile('xgnfn.dll');
DeleteFile('yjrfe.dll');
DeleteFile('ytjkyer.dll');
DeleteFile('zdbdb.dll');
DeleteFile('zfdzb.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил ...
повторите логи ...

1. Параллельно хочу сказать, что методом, описанным у Вас, отключить восстановление системы не удается. Идет "Ошибка восстановления системы при включении/отключении одного или нескольких устройств. Перезагрузите и повторите попытку". Перезагружаю - то же самое. Могу отключить лишь службу восстановления...
После выполнения скрипта:
2. Некоторые файлы .dll в директории C:\WINDOWS\system32\ стали .bak'ами.
3. Та же wmsetup.dll (и wmsetup.bak) есть и в C:\WINDOWS\Temp\ и в c:\Documents and Settings\Father\Local Settings\Temp\. В последней еще и подозрительные файлы .gif.
4. Подозрительные файлы (включая Jview.dll) есть и в директории c:\WINDOWS\AppPatch\.

Карантин прилагаю. Логи чуть позже, время же надо...
PS Попытался кинуть карантин. Не вышло... :( "
[B]virus.zip[/B]:
388.3 Кбайт превысил(а) предел на форуме. [URL="http://virusinfo.info/misc.php?do=attachments"]Нажмите здесь для просмотра ваших вложений[/URL] "
Что делать?

[b]an2000[/b] Вас же просили выслать карантин согласно приложения 3 правил, т.е. по ссылке [url]http://virusinfo.info/upload_virus.php?tid=24100[/url]

[quote=wise-wistful;237034][B]an2000[/B] Вас же просили выслать карантин согласно приложения 3 правил, т.е. по ссылке [URL]http://virusinfo.info/upload_virus.php?tid=24100[/URL][/quote]
Я и хотел отослать, нажав на "прислать запрошенный карантин", но уже начал писать ответ (а ссылка в этоот момент пропадает!). Я ее не нашел и... :)
PS Отправил. Как положено.

А вот и логи. Правда, чем они будут отличаться от первоначальных - я не знаю.

Восстановление системы - отключить ...
пофиксите ...
[code]
O2 - BHO: swsxachu.dll - {13FD5987-65D2-C58D-D87E-987451F12531} - C:\WINDOWS\System32\swsxachu.dll (file missing)
O2 - BHO: opshbbty.dll - {22596546-2036-9451-6058-658402589722} - C:\WINDOWS\System32\opshbbty.dll (file missing)
O2 - BHO: lassaplo.dll - {2B69874A-C58C-458D-69F0-698F874E41B2} - C:\WINDOWS\System32\lassaplo.dll (file missing)
O2 - BHO: skqncbib.dll - {32023698-6984-8541-9654-698745012523} - C:\WINDOWS\System32\skqncbib.dll (file missing)
O2 - BHO: oswxcttb.dll - {33512378-9874-5641-1025-985420368733} - C:\WINDOWS\System32\oswxcttb.dll (file missing)
O2 - BHO: yxcschlp.dll - {35671234-7890-ABCD-CDEF-567801237653} - C:\WINDOWS\System32\yxcschlp.dll
O2 - BHO: nhmxcjkl.dll - {37AC9076-C898-B098-D098-A18319080973} - C:\WINDOWS\System32\nhmxcjkl.dll (file missing)
O2 - BHO: apsgdjba.dll - {4FD45A54-9875-698F-E56E-65102358FDF4} - C:\WINDOWS\System32\apsgdjba.dll (file missing)
O2 - BHO: zptlcsys.dll - {50940F85-F015-14F1-A05F-F69858AC6D05} - C:\WINDOWS\System32\zptlcsys.dll (file missing)
O2 - BHO: mpwdeapi.dll - {55694105-5108-9405-3695-954187462155} - C:\WINDOWS\System32\mpwdeapi.dll (file missing)
O2 - BHO: ozfyebyt.dll - {5A069845-2036-6084-9054-6087502480A5} - C:\WINDOWS\System32\ozfyebyt.dll (file missing)
O2 - BHO: zywmfime.dll - {6319A1F1-9410-9654-3201-345FFA349136} - C:\WINDOWS\System32\zywmfime.dll (file missing)
O2 - BHO: mnmhgsrv.dll - {7C8D1401-A58D-A81C-CD24-A5915C4517C7} - C:\WINDOWS\System32\mnmhgsrv.dll
O2 - BHO: ypdjfbmp.dll - {81954FAC-1023-154F-895A-1458258AD818} - C:\WINDOWS\System32\ypdjfbmp.dll (file missing)
O2 - BHO: yxfhcjpg.dll - {83BA45AF-FAAA-CDDD-BEEE-BCDE1234AB38} - C:\WINDOWS\System32\yxfhcjpg.dll (file missing)
O2 - BHO: zxptejpg.dll - {91698482-6555-3666-1222-954784129019} - C:\WINDOWS\System32\zxptejpg.dll (file missing)
O2 - BHO: yzztimsn.dll - {9490415F-65F8-B5C5-D8BA-9405FB120549} - C:\WINDOWS\System32\yzztimsn.dll (file missing)
O20 - AppInit_DLLs: dehkj.dll,dtrgjy.dll,grgrjj.dll,wergjuk.dll,sergy.dll,ergfwe.dll,hjfgth.dll,trhth.dll,rthrk.dll,dgrdgr.dll,hrergh.dll,ghthhh.dll,hjk.dll,gjbhr.dll,gfcfg.dll,frntrn.dll,qrhhb.dll,drghszd.dll,fngn.dll,gnfctt.dll,xgnfn.dll,xfgnhcgfm.dll,serger.dll,bnxnb.dll,fxgnfx.dll,jzijj.dll,xfgnfx.dll,serghjm.dll,thsddh.dll,xbcvxb.dll,zfdzb.dll,xdndn.dll,xdfntt.dll,hgfhk.dll,dnteh.dll,xfng.dll,njritc.dll,chmfcmh.dll,jwlah.dll,gmnait.dll,hfjg.dll,thurh.dll,mgmgmm.dll,oqrthc.dll,thyut.dll,jyjlt.dll,ijatnaw.dll,sehhter.dll,fhjfg.dll,zdbdb.dll,ydgn.dll,dbfb.dll,fjnbv.dll,fgffthui.dll,setrhes.dll,cdxbfxdb.dll,xfgnxfn.dll,gjkhj.dll,xdhdg.dll,rhs.dll,mrjhtjd.dll,zdbfbd.dll,fjyjy.dll,fxnfnh.dll,bjrvm.dll,ektvm.dll,rdthr.dll,yjrfe.dll,dscef.dll,crugd.dll,lariytrz.dll,hjaiq.dll,kduy.dll,hkfgh.dll,awef.dll,dfhsh.dll,ethsh.dll,stehs.dll,sthth.dll,wfhyt.dll,rgghjj.dll,ghjkdr.dll,hfther.dll,
[/code]
віполните скрипт ...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{9490415F-65F8-B5C5-D8BA-9405FB120549}');
DelBHO('{91698482-6555-3666-1222-954784129019}');
DelBHO('{83BA45AF-FAAA-CDDD-BEEE-BCDE1234AB38}');
DelBHO('{81954FAC-1023-154F-895A-1458258AD818}');
DelBHO('{6319A1F1-9410-9654-3201-345FFA349136}');
DelBHO('{5A069845-2036-6084-9054-6087502480A5}');
DelBHO('{55694105-5108-9405-3695-954187462155}');
DelBHO('{50940F85-F015-14F1-A05F-F69858AC6D05}');
DelBHO('{4FD45A54-9875-698F-E56E-65102358FDF4}');
DelBHO('{37AC9076-C898-B098-D098-A18319080973}');
DelBHO('{35671234-7890-ABCD-CDEF-567801237653}');
DelBHO('{33512378-9874-5641-1025-985420368733}');
DelBHO('{32023698-6984-8541-9654-698745012523}');
DelBHO('{22596546-2036-9451-6058-658402589722}');
DelBHO('{13FD5987-65D2-C58D-D87E-987451F12531}');
QuarantineFile('C:\WINDOWS\System32\yxcschlp.dll','');
QuarantineFile('C:\WINDOWS\System32\mnmhgsrv.dll','');
QuarantineFile('C:\DOCUME~2\Father\LOCALS~1\Temp\wmsetup.dll','');
DeleteFile('C:\DOCUME~2\Father\LOCALS~1\Temp\wmsetup.dll');
DeleteFile('C:\WINDOWS\System32\mnmhgsrv.dll');
DeleteFile('C:\WINDOWS\System32\yxcschlp.dll');
DeleteFile('C:\WINDOWS\System32\hfrdzx.dll');
DeleteFile('C:\WINDOWS\System32\hhrdxd.dll');
DeleteFile('C:\WINDOWS\System32\jhrcar.dll');
DeleteFile('C:\WINDOWS\System32\lassaplo.dll');
DeleteFile('C:\WINDOWS\System32\mpwdeapi.dll');
DeleteFile('C:\WINDOWS\System32\nhmxcjkl.dll');
DeleteFile('C:\WINDOWS\System32\opshbbty.dll');
DeleteFile('C:\WINDOWS\System32\oswxcttb.dll');
DeleteFile('C:\WINDOWS\System32\ozfyebyt.dll');
DeleteFile('C:\WINDOWS\System32\skqncbib.dll');
DeleteFile('C:\WINDOWS\System32\swsxachu.dll');
DeleteFile('C:\WINDOWS\System32\wyrsdj.dll');
DeleteFile('C:\WINDOWS\System32\ypdjfbmp.dll');
DeleteFile('C:\WINDOWS\System32\yxfhcjpg.dll');
DeleteFile('C:\WINDOWS\System32\zptlcsys.dll');
DeleteFile('C:\WINDOWS\System32\zxptejpg.dll');
DeleteFile('C:\WINDOWS\System32\zywmfime.dll');
DeleteFile('awef.dll');
DeleteFile('bjrvm.dll');
DeleteFile('cdxbfxdb.dll');
DeleteFile('chmfcmh.dll');
DeleteFile('crugd.dll');
DeleteFile('dbfb.dll');
DeleteFile('dehkj.dll');
DeleteFile('dgrdgr.dll');
DeleteFile('dnteh.dll');
DeleteFile('drghszd.dll');
DeleteFile('ektvm.dll');
DeleteFile('ergfwe.dll');
DeleteFile('fgffthui.dll');
DeleteFile('fhjfg.dll');
DeleteFile('fjyjy.dll');
DeleteFile('fngn.dll');
DeleteFile('fxgnfx.dll');
DeleteFile('fxnfnh.dll');
DeleteFile('ghjkdr.dll');
DeleteFile('ghthhh.dll');
DeleteFile('gjkhj.dll');
DeleteFile('hfjg.dll');
DeleteFile('hfther.dll');
DeleteFile('hgfhk.dll');
DeleteFile('hjk.dll');
DeleteFile('hrergh.dll');
DeleteFile('jwlah.dll');
DeleteFile('jyjlt.dll');
DeleteFile('mgmgmm.dll');
DeleteFile('mrjhtjd.dll');
DeleteFile('njritc.dll');
DeleteFile('oqrthc.dll');
DeleteFile('rgghjj.dll');
DeleteFile('sehhter.dll');
DeleteFile('serghjm.dll');
DeleteFile('sthth.dll');
DeleteFile('thsddh.dll');
DeleteFile('wergjuk.dll');
DeleteFile('wfhyt.dll');
DeleteFile('xdfntt.dll');
DeleteFile('xdhdg.dll');
DeleteFile('xfgnfx.dll');
DeleteFile('xfgnhcgfm.dll');
DeleteFile('xfng.dll');
DeleteFile('zdbdb.dll');
DeleteFile('yjrfe.dll');
DeleteFile('zdbfbd.dll');
DeleteFile('zfdzb.dll');
DeleteFile('C:\WINDOWS\System32\apsgdjba.dll');
DeleteFile('C:\WINDOWS\System32\yzztimsn.dll');
DeleteFile('C:\WINDOWS\system32\zxfhajpg.exe');
DeleteFile('C:\WINDOWS\system32\zxcsahlp.exe');
DeleteFile('C:\WINDOWS\system32\zsdjabmp.exe');
DeleteFile('C:\WINDOWS\system32\zptlcsys.bak');
DeleteFile('C:\WINDOWS\system32\zdesfx.bak');
DeleteFile('C:\WINDOWS\system32\yxcschlp.dll');
DeleteFile('C:\WINDOWS\system32\wyrsdj.bak');
DeleteFile('C:\WINDOWS\system32\ukrth.bak');
DeleteFile('C:\WINDOWS\system32\sfsxachu.exe');
DeleteFile('C:\WINDOWS\system32\opshbbty.bak');
DeleteFile('C:\WINDOWS\system32\mnmhgsrv.dll');
DeleteFile('C:\WINDOWS\system32\lpsgajba.exe');
DeleteFile('C:\WINDOWS\system32\jhrcar.bak');
DeleteFile('C:\WINDOWS\system32\hjmh.bak');
DeleteFile('C:\WINDOWS\system32\hhrdxd.bak');
DeleteFile('C:\WINDOWS\system32\hfrdzx.bak');
DeleteFile('C:\WINDOWS\system32\azwmaime.exe');
DeleteFile('C:\WINDOWS\system32\apsgdjba.bak');
DeleteFile('C:\WINDOWS\system32\aitlasys.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил ...
повторите логи ...

Насчет отключения системы я писал выше. Службу отключил. Выполнять?

выполняйте...

HiJack пофиксил. Скрипт выполнил. Перегрузился. При запуске в AVZ скрипта лечения/карантина и сбора информации система стала перегружаться. :( До окончания работы AVZ...
Жду указаний.

делайте логи начиная с пункта 10 правил ...

Done.

уже лучше ...
выполните скрипт ...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\windows\apppatch\acxtrnel.dll','');
DelBHO('{7C8D1401-A58D-A81C-CD24-A5915C4517C7}');
DelBHO('{35671234-7890-ABCD-CDEF-567801237653}');
QuarantineFile('C:\WINDOWS\System32\mnmhgsrv.dll','');
QuarantineFile('C:\WINDOWS\System32\yxcschlp.dll','');
QuarantineFile('C:\WINDOWS\System32\zdesfx.dll','');
QuarantineFile('C:\DOCUME~2\Father\LOCALS~1\Temp\wmsetup.dll','');
QuarantineFile('C:\WINDOWS\TEMP\wmsetup.dll','');
DeleteFile('C:\WINDOWS\TEMP\wmsetup.dll');
DeleteFile('C:\DOCUME~2\Father\LOCALS~1\Temp\wmsetup.dll');
DeleteFile('C:\WINDOWS\System32\zdesfx.dll');
DeleteFile('C:\WINDOWS\System32\yxcschlp.dll');
DeleteFile('C:\WINDOWS\System32\mnmhgsrv.dll');
DeleteFile('c:\windows\apppatch\acxtrnel.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил ...
повторите логи ...

Карантин выслал (2008-06-06.zip). Старые файлы из него убрал (для уменьшения). Первый скрипт все так же перегружает комп. Остальные два лога прилагаю.

выполните скрипт ...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\Downloaded Program Files\ThunderAdvise.dll');
DeleteFile('C:\WINDOWS\AppPatch\Jview.dll');
DeleteFile('c:\windows\apppatch\acxtrnel.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
повторите логи ...

Информация к размышлению.
В директории C:\WINDOWS\system32\drivers\ торчат vdexntq5.sys, cdralw.sys.
В C:\WINDOWS\Temp\ и c:\Documents and Settings\Father\Local Settings\Temp\ постоянно присутствует wmsetup.bak (той же длины - 5632).
Сейчас будут логи.

Вот и они!

пофиксите ...
[code]
O2 - BHO: ThunderAdvise - {97421D0D-E07F-40DF-8F07-99597B9585AD} - C:\WINDOWS\Downloaded Program Files\ThunderAdvise.dll (file missing)
[/code]
віполните скрипт ...
[code]
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile(' C:\WINDOWS\system32\drivers\IsDrv122.sys','');
QuarantineFile(' C:\WINDOWS\system32\drivers\cdralw.sys','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил ...

Запустил HiJack, чтобы пофиксить... а там... гляньте...:(

.... выполните пункт 2 правил , затем установите пробную версию антивируса касперского - провертесь .... и потом новые логи ....