HELP!!! http://soft.jajaca.com/lib.zip и вирус j001.exe

Добрый день!
Помогите пожалуйста: KIS постоянно ругается на подключение к soft.jajaca.com/lib.zip и каждый раз удаляет кучу вирусов под названиями j001.exe...d002.exe и т.д.

Прошу помогите исправить проблему до Нового года :huh:

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\ali.exe','');
DeleteFile('C:\WINDOWS\ali.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','qQ');
QuarantineFile('C:\WINDOWS\system32\waifaprnlib.dll','');
QuarantineFile('c:\windows\system32\5ymh2mp7\c19.exe','');
TerminateProcessByName('c:\windows\system32\5ymh2mp7\c19.exe');
DeleteFile('c:\windows\system32\5ymh2mp7\c19.exe');
DeleteFileMask('c:\windows\system32\5ymh2mp7', '*.*', true);
DeleteDirectory('c:\windows\system32\5ymh2mp7');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]

После перезагрузки:
- выполните такой скрипт
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
- Файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ загрузите по ссылке [B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B] вверху темы

А также:

1. Скачайте Bootkit Remover от eSage Lab [url]http://www.esagelab.com/files/bootkit_remover.rar[/url]

2. Распакуйте утилиту и запустите файл remover.exe.

3. Сделайте скриншот окна прежде чем нажать на любую клавишу и приложите его сюда.
-
[I]thnx to Aleksandra[/I]

polword, файл [B][COLOR=Red]quarantine.zip [/COLOR][/B]загрузил. Спасибо за быстрый отклик :rolleyes:

миднайт, сделал скриншот, но получилось 2 окна. Прилагаю:

Проведите лечение [url]http://support.kaspersky.ru/viruses/solutions?qid=208639606[/url]

Выполнить
1. remover.exe dump \\.\PhysicalDrive0 bootvir
2. remover.exe fix \\.\PhysicalDrive0

Файл bootvir запаковать с паролем virus и прислать по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

snifer67, лечение произвел, перезагрузил компьютер. KIS все равно ругается на soft.jajaca.com/lib.zip

миднайт, извиняюсь, не знаю в чем выполнить данные скрипты. Не очень в этом компетентен. Пробовал через Bootkit Remover и через AVZ - не получается =(

Сделайте текстовый документ и скопируйте туда [CODE]remover.exe dump \\.\PhysicalDrive0 bootvir
remover.exe fix \\.\PhysicalDrive0[/CODE]
сохраните его как bat-файл в папке с утилитой от eSage Lab и запустите.

миднайт, все сделал. =) Дальше? =)

Повторите логи AVZ. KIS продолжает ругаться?

[QUOTE=миднайт;747948]Повторите логи AVZ. KIS продолжает ругаться?[/QUOTE]

миднайт, логи повторил. Все то же самое. KIS пишет "выполняется анализ новой или изменившейся программы", и понеслось: е003.exe, а21. exe, ali.exe и т.д. и т.п., а также подключение к soft.jajaca.com/lib.zip

Что же делать? HELP!!! :sad:

[SIZE=1][COLOR=#666686][B][I]Добавлено через 8 минут[/I][/B][/COLOR][/SIZE]

В пути C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5
постоянно создаются новые папки, к примеру F4HYL4U5, VBDG0LF4. Там и сидят эти файлы а21. exe, ali.exe и т.д.

- сделайте лог [URL="http://virusinfo.info/showthread.php?t=58309"][COLOR="Blue"][B]Combofix[/B][/COLOR][/URL]

+

Установите [url=http://www.microsoft.com/downloads/details.aspx?FamilyID=5b33b5a8-5e76-401f-be08-1e1555d4f3d4&displaylang=ru]SP3[/url](может потребоваться активация)+все последующие обновления

Установите [url=http://www.microsoft.com/rus/windows/internet-explorer/default.aspx]IE8[/url]

[QUOTE=polword;747967]- сделайте лог [URL="http://virusinfo.info/showthread.php?t=58309"][COLOR=Blue][B]Combofix[/B][/COLOR][/URL][/QUOTE]

Сделал. Прилагаю файл combofix.txt
При запуске ComboFix спросил про консоль восстановления, я отказался от установки консоли, т.к. не совсем уверен в подлинности ОС (устанавливал ПО не я).

[QUOTE=snifer67;747974]+

Установите [URL="http://www.microsoft.com/downloads/details.aspx?FamilyID=5b33b5a8-5e76-401f-be08-1e1555d4f3d4&displaylang=ru"]SP3[/URL](может потребоваться активация)+все последующие обновления

Установите [URL="http://www.microsoft.com/rus/windows/internet-explorer/default.aspx"]IE8[/URL][/QUOTE]

Дело в том, что при установке SP3 в прошлом, ОС не прошла активацию, пришлось переустанавливать систему. Не уверен, что сейчас здесь стоит лицензионная ОС =(

[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]

Неужели все так плачевно? =( Переустанавливать ОС? Иного выхода нет? =( PS. в папке system32 вирус клонировался многократно =(

сейчас скрипт напишу подождите

[QUOTE=polword;747992]сейчас скрипт напишу подождите[/QUOTE]
Очень на Вас надеюсь :unsure:

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
QuarantineFile('c:\windows\system32\winlogon.exe','');
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]

- Файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ загрузите по ссылке [B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B] вверху темы
- Замените файл c:\windows\system32\winlogon.exe на чистый из [URL="http://virusinfo.info/showthread.php?t=51654"]дистрибутива[/URL].

Скопируйте текст ниже в блокнот и сохраните как файл с названием [COLOR="Blue"][B]CFScript.txt[/B][/COLOR] на рабочий стол.
[CODE]
KillAll::

File::
c:\windows\system32\tlntfpn.dll

Driver::
gsigo

NetSvc::
gsigo

Folder::
c:\windows\system32\AERPJWBY
c:\windows\system32\8GOJU7NT
c:\windows\system32\75AE2ONB
c:\windows\system32\6V6N5W8A
c:\windows\system32\5MSJEDAR
c:\windows\system32\40VNAQ6C
c:\windows\system32\3SG3B5HT
c:\windows\system32\2LVYTU2N
c:\windows\system32\ZQN5AEZC
c:\windows\system32\Y5QB6QWW
c:\windows\system32\XTVZ5O2C
c:\windows\system32\WVOSNMHH
c:\windows\system32\ULTHCJWC
c:\windows\system32\TG5PAHTK
c:\windows\system32\TVQFLGC8
c:\windows\system32\SFLCE6AC
c:\windows\system32\MKCYFV26
c:\windows\system32\M0NAU40E
c:\windows\system32\LLEEBW3O
c:\windows\system32\KN1K74S5
c:\windows\system32\K1WPFUVC
c:\windows\system32\J7ROOWVG
c:\windows\system32\JSZDJBJS
c:\windows\system32\IBF24HMT
c:\windows\system32\F2J53YBS
c:\windows\system32\FU1ESPMN
c:\windows\system32\E03DRGG7
c:\windows\system32\6FWRF0JR
c:\windows\system32\MFI1IDWO
c:\windows\system32\KB3HJNMW
c:\windows\system32\J6J3NJNX
c:\windows\system32\I2F5DR3T
c:\windows\system32\7CEMZPA4
c:\windows\system32\SHMEI4B6
c:\windows\system32\KXNL1ZHR
c:\windows\system32\K5EYRBR8
c:\windows\system32\KZI60LT0
c:\windows\system32\K445K0ZP
c:\windows\system32\JN1GKTNT
c:\windows\system32\J5MYHZMO
c:\windows\system32\JPW1IF02
c:\windows\system32\JWAM63LB
c:\windows\system32\J1WLQIQY
c:\windows\system32\JA0QJHRQ
c:\windows\system32\JTOMMKUE
c:\windows\system32\IQLU41HI
c:\windows\system32\IA8Q74L5
c:\windows\system32\IH8IU6G3
c:\windows\system32\IN8AG8C1
c:\windows\system32\I6W5KCFP
c:\windows\system32\IQK1NFJE
c:\windows\system32\IYN7FDJ4
c:\windows\system32\IIB3IGNS
c:\windows\system32\HE4XV043
c:\windows\system32\HW17UUT7
c:\windows\system32\HUP1HLVV
c:\windows\system32\HPJVU5D6
c:\windows\system32\SASN37DL
c:\windows\system32\KINIHFKT
c:\windows\system32\H4T07KCG
c:\windows\system32\t

Registry::
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"5610:TCP"=-
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
"WaifSvc"=-
"WaigSvc"=-
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\gsigo]

FileLook::

DirLook::
c:\documents and settings\BIG BAD WOLF\7939
[/CODE]

После сохранения переместите [COLOR="Blue"][B]CFScript.txt[/B][/COLOR] на пиктограмму [B]ComboFix.exe[/B].

[IMG]http://i076.radikal.ru/1003/e5/554faea12baf.gif[/IMG]

Когда сохранится новый отчет [B]ComboFix.txt[/B], прикрепите его к сообщению.

polword, извиняюсь за доставленные неудобства, но возникла проблема с заменой winlogon.exe. В интернете файл найти не выходит, на диске который путем огромных усилий был найден в самом темном углу шкафа, тоже его не нашлось. Может, файл как-то зашифрован?

Я так понимаю, заменить его надо обязательно, ведь и ComboFix на него ругался... =(

[size="1"][color="#666686"][B][I]Добавлено через 3 минуты[/I][/B][/color][/size]

Мда, новая "фишка" от вируса - C:\WINDOWS\system32\serivces.exe.

Похоже, совсем плохи дела... =(

карантин последний пришлите

выполните скрипт в combofix и прикрепите новый лог.
p.s.

если не обновите систему- зловреды скорее всего вернутся