Нужна помощь

Выполнил, загрузил.

boot_clr.log -прикрепите к сообщению....

Вот

выполните скрипт ...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('C:\WINDOWS\System32\drivers\runtime.sys');
DeleteFile('C:\WINDOWS\system32\DefLib.sys');
BC_DeleteSvc('runtime');
BC_ImportDeletedList;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
[/code]
повторите лог Sisinfo ...

Выполнил

runtime убился, deflib остался.
Почистим:
[CODE]
begin
ClearQuarantine;
SetAVZGuardStatus(true);
SysCleanAddFile('C:\WINDOWS\system32\DefLib.sys');
ExecuteSysClean;
end.
[/CODE]

Поискать system32\DRIVERS\Ip6Fw.sys. Найдется, добавить в карантин и прислать.

Скрипт выполнил.

[I]system32\DRIVERS\Ip6Fw.sys[/I] искал в AVZ через меню "Добавление в карантин по списку". В карантине пусто, в протоколе -"Карантин с использованием прямого чтения - ошибка". Это значит что все чисто, или я не правильно искал ?

Да. Значит он чистый.

повторите лог Sisinfo ...

Сделал

Повтори скрипт в Safe Mode. Что-то не хочет удаляться ссылка.

Выполнил, прикрепляю лог Sisinfo (или не надо, хотя уже поздно)

Забудем о ней. Не удаляется и все.

Делай логи AVZ. Будем заканчивать тему.

Уже забыл.
Вот свежие логи

[url]http://127.0.0.1:8080/config.script[/url] - это знаете что такое.

Профиксить в HijackThis:
[CODE]
O4 - HKUS\S-1-5-19\..\Run: [LinkDel] linkdel.cmd (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [LinkDel] linkdel.cmd (User 'NETWORK SERVICE')
[/CODE]

Не успели одно вылечить, уже второе живет.

Выполнить скрипт в Safe Mode:
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('\WINDOWS\system32\ntoskrnl.exe','');
QuarantineFile('C:\qqd.sys','');
DeleteFile('C:\qqd.sys');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
Прислать после перезагрузки карантин.

Все сделал, а что такое [I][url]http://127.0.0.1:8080/config.script[/url][/I] -не знаю :embarasse

Это настройка Вашего IE.
Поищите config.script через AVZ. Может тогда узнаем что это такэ.
Карантин сейчас посмотрю.

[size="1"][color="#666686"][B][I]Добавлено через 13 минут[/I][/B][/color][/size]

C:\WINDOWS\system32\ntoskrnl.exe - Trojan-Downloader.Win32.Kset.b(по Касперскому)
C:\qqd.sys - Rootkit.Win32.Agent.ey

Надо заменять ntoskrnl.exe с дистрибутива на чистый.

Как это делать:
Пуск--выполнить--cmd
expand x:\i386\ntoskrnl.ex_ y:\windows\system32\ntoskrnl.exe
x - буква CD, y - буква диска с windows xp

А меня чето уже не читаются диски :(

можете взять [URL="http://slil.ru/24872801"]тут[/URL]

Спасибо за файл, но попытка по прежнему не удалась.
Выполнение заканчивается "не удается открыть конечный файл с:\windows\system32\ntoskrnl.exe"

1. Перегрузить ПК.
2. Во время загрузки держать нажатой кнопку F8 для входа в загрузочное меню Windows XP.
3. Выбрать режим командной строки (Command Prompt).
4. Снова нажать F8.
5. Войти в систему под именем Администратора.
6. выполнить замену как написал PavelA ... ( слегка скорректировав пути) ...

Получилось :)
Прислать логи?

повторите логи ...

Последние логи

еще такой лог [url]http://virusinfo.info/showthread.php?t=10387[/url]

Протокол упакован в архив под названием log

выполните скрипт ...
[code]
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('\??\C:\fwdrv.sys','');
QuarantineFile('Srsw16earvvct.sys','');
QuarantineFile('system32\DRIVERS\Ip6Fw.sys','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил..

Все сделал

Файл сохранён как 070920_015431_virus_46f219277d9e3.zip
Размер файла 1677
MD5 96152ea6a4b84bab1d52cc86c2d2fd80

[size="1"][color="#666686"][B][I]Добавлено через 3 часа 43 минуты[/I][/B][/color][/size]

Извините что возможно бегу впереди паровоза, в карантине у меня нет шпионов?
Можно работать спокойно?

В карантине у вас пусто.
Выполните скрипт в AVZ:
[code]begin
BC_DeleteSvc('fwdrv.sys');
BC_DeleteSvc('Srsw16earvvct');
BC_Activate;
RebootWindows(true);
end.[/code]
Ничего плохого в логах больше нет.

Скрипт выполнил, прислать логи AVZ?

Да. Для контроля.

Пожалуйста, посмотрите

В логах чисто. Можно только дырки позакрывать, если не используются.

>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя

Пиши, что не используешь. Прикроем.

СПАСИБО всем за помощь, рад, что все чисто.

По поводу дырок
-Комп рабочий, имеется сетка (пять машин),
доступ других пользователей по сетке к моей машине ограничивается (во всяком случае я так думаю :)) парой папок,
-выход в WWW через ADSL,
-авторан можно запретить (кстати хотел его запретить и на дом. компе, может совет дадите как),
-а вот по поводу анономного пользователя - не знаю (готов прислушаться к Вашим рекомендациям).

Раз есть локалка, доступ анонимного надо оставить, иначе придется каждого юзера сети прописывать в разрешениях на доступ к расшаренным папкам. Остальное отключается следующим скриптом:
[code]
begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\CDROM','AutoRun', 0);
SetServiceStart('SSDPSRV', 4);
RebootWindows(true);
end.[/code]

Все сделал, еще раз всем СПАСИБО :)

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]7[/B][*]Обработано файлов: [B]62[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\qqd.sys - [B]Rootkit.Win32.Agent.ey[/B] (DrWEB: Trojan.NtRootKit.354)[*] c:\\windows\\system32\\ntoskrnl.exe - [B]Trojan.Win32.Patched.at[/B] (DrWEB: Trojan.Spambot.2440)[*] c:\\windows\\temp\\winlogon.exe - [B]Trojan-Proxy.Win32.Small.gk[/B] (DrWEB: Trojan.Packed.147)[*] \\linkdel.cmd - [B]Trojan.Win32.KillFiles.mu[/B] (DrWEB: Trojan.KillFiles.11318)[*] \\windows\\system32\\ntoskrnl.exe - [B]Trojan.Win32.Patched.at[/B] (DrWEB: Trojan.Spambot.2440)[*] \\2007-09-18\\linkdel.cmd - [B]Trojan.Win32.KillFiles.mu[/B] (DrWEB: Trojan.KillFiles.11318)[/LIST][/LIST]