Sanitardiska появился

Уважаемые здравствуйте.

после похождений по инету
выскакивает окошко с предложением о помощи - какой-то sanitardiska
и еще на рабочем столе две иконочки появилось

(файл syscheck.zip не загружается почему-то не принимает его сайт)

Закройте все программы.
Запустите AVZ.
Выполните скрипт через меню Файл:
[code]
begin
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\ramtmb.dll','');
QuarantineFile('hplun.dll','');
QuarantineFile('C:\WINDOWS\system32\drivers\Iwws86.sys','');
DeleteFile('C:\WINDOWS\system32\ramtmb.dll');
BC_QrFile('C:\WINDOWS\system32\drivers\Iwws86.sys');
BC_DeleteFile('C:\WINDOWS\system32\ramtmb.dll');
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
[/code]
Компьютер перезагрузится.
Пришлите то, что попадет в карантин по ссылке [url]http://virusinfo.info/upload_virus.php?tid=13522[/url] так, как написано в приложении 3 Правил.
Сделайте новый лог hijackthis и приложите к вашей теме.

[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]

syscheck.zip = virusinfo_syscheck.zip ?
Загрузите его, если не получается приложить к теме на какой-нибудь файлообенник, а здесь ссылку дайте.

hplun.dll - это не вредное это от программы BestCrypt

[size="1"][color="#666686"][B][I]Добавлено через 10 минут[/I][/B][/color][/size]

после выполнения скрпта и перезагрузки
запустил avz со скриптом карантина машина перегрузилась :(
запустил еще раз, о результатх доложу

Она и должна была перезагрузиться по выполнении скрипта. Карантин загрузите по ссылке [url]http://virusinfo.info/upload_virus.php?tid=13522[/url]

тот скрипт что приведен здесь выполнился нормально и машина перезгрузилась, но потом
машина перегрузилась во время выполения скрипта лечения/карантина сама,
после перезагрузки систама сообщила что восстановлена после серьезной ошибки

вот результаты последней проверки

Отключите автоматическую перезагрузку:
Свойства компьютера - Дополнительно - Загрузка и восстановление.
И запишите первые две строки с синего экрана (если он появится).

Окошко с предложением о помощи sanitardiska пропало?

Для продолжения лечения нужен карантин.

забыл добавить:
запуск последней скачанной сегодня CureIt вызывает перезагрузку системы :(

[size="1"][color="#666686"][B][I]Добавлено через 26 минут[/I][/B][/color][/size]

да, окошко "санитара" больше не появляется

выложил чуть выше новый syscheck.zip

Карантин AVZ загрузите, пожалуйста, по ссылке [url]http://virusinfo.info/upload_virus.php?tid=13522[/url]

отправил карантин

Куда?

по сслыке которую дал Numb

По этой ссылке не пришло ничего.

Извиняюсь что выпал из процесса.
Сегодня смог посидеть за этой машиной.
Ситуация такая:
- запускаешь cureit.exe машина вываливается в синий экран
STOP 0x0000007E (0x0000005, ox8061941d, 0xf88ec854, 0xf88ec550)
- запускаешь avz.exe на выполнение скрипта лечения и карантина, ситуация та же.

Запустил avz.exe на нажал кнопку "Пуск", нашел Trojan.Win32.Pakes.bmk в файле
c:\windows\system32\0007000.exe

перенес его в карантин, перегрузился, запустил стандартный скрипт лечения/карантина и снова вывалился в синий экран.

После перезагрузки всега сообщает о восстановлении после серьезной ошибки, но восстановление системы отключено.

Скрипт сбора информации прошел

p.s.
Юзер говорит что посетил сайт [url]www.mirbis.ru[/url] и с него переходил по ссылке на сайт какой-то гостинницы

выполните скрипт...
[code]
begin
SearchRootkit(false, true);
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Iwws86','Start');
RebootWindows(true);
end.
[/code]
после перезагрузки еще один ...
[code]
begin
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\drivers\Iwws86.sys','');
BC_QrFile('C:\WINDOWS\system32\drivers\Iwws86.sys');
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил...

вот

Загружать virus только по ссылке в верху темы

Попробуйте запустить Cureit загрузившись в безопасном режиме (жмакать F8 при загрузке)

[SIZE="1"][CODE]File 0007000.exe received on 10.30.2007 13:05:12 (CET)
Antivirus Version Last Update Result
AhnLab-V3 2007.10.30.0 2007.10.30 -
AntiVir 7.6.0.30 2007.10.30 TR/Pakes.bmk.2
Authentium 4.93.8 2007.10.29 W32/Downldr2.AOUA
Avast 4.7.1074.0 2007.10.30 -
AVG 7.5.0.503 2007.10.30 PSW.Generic5.TGC
BitDefender 7.2 2007.10.30 -
CAT-QuickHeal 9.00 2007.10.29 Trojan.Pakes.bmk
ClamAV 0.91.2 2007.10.30 Trojan.Dropper-2739
DrWeb 4.44.0.09170 2007.10.30 BackDoor.Bulknet.85
eSafe 7.0.15.0 2007.10.28 Win32.Pakes.bmk
eTrust-Vet 31.2.5253 2007.10.30 Win32/Cutwail.BE
Ewido 4.0 2007.10.30 -
FileAdvisor 1 2007.10.30 -
Fortinet 3.11.0.0 2007.10.19 -
F-Prot 4.3.2.48 2007.10.30 W32/Downldr2.AOUA
F-Secure 6.70.13030.0 2007.10.30 Trojan.Win32.Pakes.bmk
Ikarus T3.1.1.12 2007.10.30 Win32.Outbreak.Girl
Kaspersky 7.0.0.125 2007.10.30 Trojan.Win32.Pakes.bmk
McAfee 5151 2007.10.29 Spy-Agent.bv.gen
Microsoft 1.2908 2007.10.30 TrojanDropper:Win32/Cutwail.H
NOD32v2 2627 2007.10.30 a variant of Win32/TrojanDownloader.Injecter.U
Norman 5.80.02 2007.10.29 -
Panda 9.0.0.4 2007.10.30 -
Prevx1 V2 2007.10.30 TROJAN.AGENT.GEN
Rising 19.47.12.00 2007.10.30 -
Sophos 4.23.0 2007.10.30 Troj/Pushdo-Gen
Sunbelt 2.2.907.0 2007.10.29 -
Symantec 10 2007.10.30 -
TheHacker 6.2.9.110 2007.10.27 -
VBA32 3.12.2.4 2007.10.28 Trojan.Win32.Pakes.bmk
VirusBuster 4.3.26:9 2007.10.29 Trojan.DR.Pandex.Gen.1
Webwasher-Gateway 6.6.1 2007.10.30 Trojan.Pakes.bmk.2
Additional information
File size: 20992 bytes[/CODE][/SIZE]

to drongo
делал это первый раз

[size="1"][color="#666686"][B][I]Добавлено через 4 минуты[/I][/B][/color][/size]

[QUOTE=Shu_b;146156]Попробуйте запустить Cureit загрузившись в безопасном режиме (жмакать F8 при загрузке)
[/QUOTE]

а два предыдущих скрипта его не деактивировали ?

после проверки Cureit сделайте новые логи...