Помогайте

Собственно сколько не пытался найти откуда лезут файлы EXE в папку с драйверами и в автозапуск и в корне системного диска EXE штампуется с названием на подобе такого f6i7e9d2t9d2.exe ..так и не понял..все что находил в реестре и в папках удалял но чет бесполезно..проблема остается..прошу помощи!

так же были файлы типа
G:\WINDOWS\system32\drivers\LBTWi.exe
G:\WINDOWS\system32\Ati2evxx.exe
чето много нас кто попался на это..


Кстати...может вы знаете..как то год назад доковырял систему до такого что она не создавала папки RECYCLER и System Volume....
как смог сделать не помню...кто знает подскажите как так сделать??Заранее Благодарю за всё!

Для начала выполните скрипт
[code]begin
QuarantineFile('C:\PROGRA~1\COMMON~1\MICROS~1\DW\DW20.EXE','');
QuarantineFile('C:\WINDOWS\system32\Drivers\SIVX32.sys','');
QuarantineFile('C:\WINDOWS\system32\comctl32.dll','');
BC_ImportALL;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится. Полученный карантин закачайте по ссылке вверху страницы

Файл сохранён как 090909_111609_virus_4aa7563912270.zip
Размер файла 844457
MD5 1b87096263c653e41b14455898be5b1d

Hosts сами редактировали?

[QUOTE='Eclipse;464594']как то год назад доковырял систему до такого что она не создавала папки RECYCLER и System Volume....[/QUOTE]
Может быть вы просто отключали отображение защищенных системных файлов?
Ну RECYCLER - в настройках корзины поставьте галочку "Удалять файлы сразу без помещения их в корзину". Только сами понимаете, чем это грозит.

[QUOTE]Hosts сами редактировали?[/QUOTE]
да я заблокировал пару сайтов,надо так,сис админ по профессии,дома линукс,а тут оффисник вот! проблема я думаю никак не в них.

файлы и так мимо корзины удаляются
и отключал я не отображение а именно через Total Commander убедился до того что сначало долгое время не создавался каталог RECYCLER ну а после как то расковырял до System Volume.... и не та ,не другая папка не появлялись...что в винде отвечает за их создание?

после проделанного скрипта моя проблема решена должна быть или попробовать проверить еще раз и прикрепить отчеты..

Нет, проблема решиться еще не должна, ждем ответа лаборатории по карантину. Пока сделайте лог Gmer

[QUOTE=vegas;464697]Нет, проблема решиться еще не должна, ждем ответа лаборатории по карантину. Пока сделайте лог Gmer[/QUOTE]
Ответ ждем!Хорошо!А что такое лог Gmer?

Скачайте отсюда [url]http://www.gmer.net/gmer.zip[/url] и распакуйте в отдельную папку. Запустите программу, после быстрой проверки нажмите Scan. По окончании сканирования нажмите Save, результат выложите сюда

присланные файлы чистые.

[B]vegas[/B], [url]http://slil.ru/27966998[/url] вот

Лог Гмер ничего не показал, сделайте лог МВАМ

Malwarebytes' Anti-Malware 1.40
Версия базы данных: 2763
Windows 5.1.2600 Service Pack 2

09.09.2009 19:01:17
mbam-log-2009-09-09 (19-01-13).txt

Тип проверки: Быстрая
Проверено объектов: 84330
Прошло времени: 8 minute(s), 5 second(s)

Заражено процессов в памяти: 0
Заражено модулей в памяти: 0
Заражено ключей реестра: 0
Заражено значений реестра: 0
Заражено параметров реестра: 3
Заражено папок: 0
Заражено файлов: 1

Заражено процессов в памяти:
(Вредоносные программы не обнаружены)

Заражено модулей в памяти:
(Вредоносные программы не обнаружены)

Заражено ключей реестра:
(Вредоносные программы не обнаружены)

Заражено значений реестра:
(Вредоносные программы не обнаружены)

Заражено параметров реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowSearch (Hijack.StartMenu) -> Bad: (0) Good: (1) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue (Hijack.System.Hidden) -> Bad: (0) Good: (1) -> No action taken.

Заражено папок:
(Вредоносные программы не обнаружены)

Заражено файлов:
C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\EQS2G9KD\brown[1].jpg (Backdoor.Poison) -> No action taken.

[size="1"][color="#666686"][B][I]Добавлено через 21 минуту[/I][/B][/color][/size]

все же продолжает в папке
sys32\drivers\ Лежать файл notepad.exe
[url]http://www.virustotal.com/ru/analisis/2d5df17c2868e43aea00695988921641a9367fba71338db3f75bfab5000062c4-1252492405[/url]
самому интерестно что же его там обнаружит и что способствует его созданию там..а так же прописыванию в автозапуск в реестре и впослдествии подключению к инету и забивание канала своими пакетами таким образом что браузер не открывает страницы?!

Хм, если DrWeb его видит - значит свежий [URL="http://www.freedrweb.com/download+cureit/gr/"]CureIt[/URL] Вам в помощь.
Полное сканирование а не быстрое.

После чего сделайте логи снова

[QUOTE=Kuzz;464917]Хм, если DrWeb его видит - значит свежий [URL="http://www.freedrweb.com/download+cureit/gr/"]CureIt[/URL] Вам в помощь.
Полное сканирование а не быстрое.

После чего сделайте логи снова[/QUOTE]
тут скорость 256 а дома 4 мб))пока скачается:D
логи от какой программы требуются??

Логи по правилам.

Вот

Кхм:)

Вы CureIt в безопасном режиме полную проверку делали?
Выполните скрипт
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
TerminateProcessByName('C:\DOCUME~1\user\LOCALS~1\Temp\RarSFX0\wrc74xp.exe');
QuarantineFile('C:\DOCUME~1\user\LOCALS~1\Temp\RarSFX0\wrc74xp.exe','');
DeleteFile('C:\DOCUME~1\user\LOCALS~1\Temp\RarSFX0\wrc74xp.exe');
QuarantineFile('C:\DOCUME~1\user\LOCALS~1\Temp\nxkagakj.sys','');
DeleteFile('C:\DOCUME~1\user\LOCALS~1\Temp\nxkagakj.sys');
BC_Importall;
Executesysclean;
BC_DeleteFile('\Device\HarddiskVolume1\DOCUME~1\user\LOCALS~1\Temp\RarSFX0\wrc74xp.exe');
BC_Activate;
RebootWindows(true);
end.[/code]
Повторите логи АВЗ. Сделайте такой лог [url]http://virusinfo.info/showpost.php?p=454444&postcount=3[/url]

[QUOTE]Вы CureIt в безопасном режиме полную проверку делали? [/QUOTE]
Нет,в обычном,темпы удалил уже
[QUOTE]The Avenger[/QUOTE]
не нашел ничего
логи АВЗ чистые,проблемы решена,благодарю за помощь!)

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]3[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]