Блокированы антивирусы

[POL23]

[polword]

- сделайте лог Combofix в безопасном режиме

[POL23]

Сделал, вот лог

[polword]

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.

Код:

KillAll::

File::
c:\windows\system32\'DnЂ
c:\windows\system32\ahokvbw.exe
c:\documents and settings\All Users\systems.exe

Driver::

NetSvc::

Folder::
c:\program files\Common Files\ACC35333a

Registry::
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"Userinit"="c:\windows\system32\userinit.exe,"

FileLook::

DirLook::

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.



- Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.
- Сделайте повторные логи по правилам п.1-3 раздела Диагностика.(virusinfo_syscure.zip;virusinfo_syscheck.zip; hijackthis.log)

[POL23]

Новый отчет не создается, тк запуск Combofix блокируется- сразу после запуска (0.1 сек) окно пропадает навеки

[polword]

Загрузитесь в безопасном режиме с поддержкой командной строки и запустите AVZ с ключом ag=y

если так получется запустить AVZ, то выполните скрипт

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,'); 
 QuarantineFile('c:\windows\system32\'DnЂ','');
 QuarantineFile('c:\windows\system32\ahokvbw.exe','');
 QuarantineFile('c:\documents and settings\All Users\systems.exe','');
 DeleteFile('c:\documents and settings\All Users\systems.exe');
 DeleteFile('c:\windows\system32\ahokvbw.exe');
 DeleteFile('c:\windows\system32\'DnЂ');
 DeleteFileMask('c:\program files\Common Files\ACC35333a', '*.*', true);
 DeleteDirectory('c:\program files\Common Files\ACC35333a');
 BC_ImportAll;
 ExecuteSysClean;
 ExecuteWizard('TSW', 2, 2, true);
 ExecuteWizard('SCU', 2, 2, true);
 BC_Activate;
 RebootWindows(true);
end.

После перезагрузки:
- выполните такой скрипт

Код:

begin
  CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
 end.

- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте логи по правилам п.1-3 раздела Диагностика.(virusinfo_syscure.zip;virusinfo_syscheck.zip; hijackthis.log)

[POL23]

Как назвать файл с этим кодом, и как его выполнить в безопасном режиме? Из AVZ? А после перезагрузки-войти в нормальном режиме? Или - тоже в безопасном?

[polword]

- Сохраните текст Скрипта как 1.txt
- запустите АVZ
- файл=>выполнить скрипт=>кнопка загрузить=>выбираете файл 1.txt=>кнопка запустить

после перезагрузки-в нормальный

[POL23]

В скрипте было 2 ошибки- в 5 и 10 строчке пришлось убрать апостроф перед странным именем файла- иначе AVZ не хотела выполнять скрипт. После перезагрузки, инициированной скриптом, произошло еще 2-3 перезагрузки (самопроизвольно). Но сейчас симптомы заражения отсутствуют- не прописаны левые маршруты, не блокируется AVZ, и сама запустилась Kaspersky Virus Removal Tool 2010, которую когда-то раньше я загрузил и не отпускал.
Архив с карантином AVZ вот:

Добавлено через 21 минуту

Я закачал свежие диагностические инструменты и сейчас буду выполнять процедуры по ПРАВИЛАМ, но это займет очень много времени: одна полная проверка моим Nod32 может и не окончиться до утра. Но я доведу дело до конца- пусть и завтра.
А сегодня- всем, кто участвовал в излечении моего кома- огромное спасибо.

[POL23]

Только сейчас смог завершить диагностику по правилам.
Шлю логи

[polword]

- Выполните скрипт в AVZ

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
 RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,'); 
QuarantineFile('C:\WINDOWS\system32\ahokvbw.exe','');
 QuarantineFile('C:\DOCUME~1\Pol\LOCALS~1\Temp\esp8D43.tmp','');
 QuarantineFile('C:\DOCUME~1\Pol\LOCALS~1\Temp\espC6DB.tmp','');
 DeleteFile('C:\DOCUME~1\Pol\LOCALS~1\Temp\espC6DB.tmp');
 DeleteFile('C:\DOCUME~1\Pol\LOCALS~1\Temp\esp8D43.tmp');
 DeleteFile('C:\WINDOWS\system32\ahokvbw.exe');
 RegSearch('HKLM', '', 'espC6DB.tmp');
 RegSearch('HKLM', '', 'esp8D43.tmp');
 SaveLog(GetAVZDirectory + 'search.log');
 BC_ImportAll;
 ExecuteSysClean;
 ExecuteWizard('TSW', 2, 2, true);
 ExecuteWizard('SCU', 2, 2, true);
 BC_Activate;
 RebootWindows(true);
end.

После перезагрузки:
- выполните такой скрипт

Код:

begin
  CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
 end.

- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
Обновите систему
- SP2 обновите до Service Pack 3(может потребоваться активация)
* Перед установкой Сервис Пака необходимо выгрузить антивирус, файрвол, а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)
* Microsoft остановил поддержку и выпуск обновлений безопасности для ОС Windows XP без установленного SP3, см.тут
- Поставте все последние обновления системы Windows - тут

- Сделайте повторные логи по правилам п.1-3 раздела Диагностика.(virusinfo_syscure.zip;virusinfo_syscheck.zip; hijackthis.log)

[POL23]

SP3 ставил вчера. Всё бы хорошо, но сразу пропала возможность получить IPадрес автоматически-следовательно пропал интернет. Провайдеру звонить не рискнул, тк сейчас живу совсем не по тому адресу, на который заключен договор (но провода от этого провайдера там есть). Менять договор не хочу, тк по старому адресу родственники пользуются услугами по этому же договору (не интернет). Как только снес SP3 - сразу восстановилась связь.

Добавлено через 1 минуту

Диагностику сейчас начну делать

[POL23]

Вот логи:

[Шапельский Александр]

Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\1','');
 QuarantineFile('C:\DOCUME~1\Pol\LOCALS~1\Temp\esp8D43.tmp','');
 QuarantineFile('C:\DOCUME~1\Pol\LOCALS~1\Temp\espC6DB.tmp','');
 DeleteFile('C:\DOCUME~1\Pol\LOCALS~1\Temp\espC6DB.tmp');
 DeleteFile('C:\DOCUME~1\Pol\LOCALS~1\Temp\esp8D43.tmp');
 RegSearch('HKLM', '', 'espC6DB.tmp');
 RegSearch('HKLM', '', 'esp8D43.tmp');
 SaveLog(GetAVZDirectory + 'search11.log');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.
закачайте карантин по ссылке Прислать запрошенный карантин в шапке Вашей темы (Приложение 3 правил).
Сделайте новый лог virusinfo_syscheck.zip
Файл search11.log найдите в папке AVZ и прикрепите с новым логом в новом сообщении

[POL23]

Сделано

[POL23]

Файл карантина не грузится- причина: такой файл уже был загружен (но по дате видно, что он новый)

[Шапельский Александр]

Внимательно прочтите и закачайте карантин--http://virusinfo.info/showpost.php?p=335978&postcount=1

[thyrex]

Выполните скрипт в AVZ

Код:

begin
RegKeyDel('HKLM', 'SYSTEM\CurrentControlSet\Control\Print\Providers\BB4D13C3');
RegKeyDel('HKLM', 'SYSTEM\ControlSet001\Control\Print\Providers\BB4D13C3');
RegKeyDel('HKLM', 'SYSTEM\ControlSet002\Control\Print\Providers\BB4D13C3');
RegKeyDel('HKLM', 'SYSTEM\ControlSet005\Control\Print\Providers\BB4D13C3');
RegKeyDel('HKLM', 'SYSTEM\CurrentControlSet\Control\Print\Providers\FBEF0723');
RegKeyDel('HKLM', 'SYSTEM\ControlSet001\Control\Print\Providers\FBEF0723');
RegKeyDel('HKLM', 'SYSTEM\ControlSet002\Control\Print\Providers\FBEF0723');
RegKeyDel('HKLM', 'SYSTEM\ControlSet005\Control\Print\Providers\FBEF0723');
RebootWindows(true);
end.

Компьютер перезагрузится.

Сделайте новый лог virusinfo_syscheck.zip

[POL23]

Сделано. Вот лог:
ЗЫ:Файл карантина загрузил чуть ранее

[thyrex]

Что за странный файл C:\1 -?