u.bat в автозапуске, amvo0.exe в автозагрузке и еще много чево ...

[LiNED]

Извините, файлы вроде прикреплял но похоже просто забыл ткнуть в кнопку "загрузить"...

[drongo]

Перенёс. Одного лога не хватает.

[LiNED]

Выложил лог, только я чтото запутался в навигации. Тут 2 одинаковые темы создались или я чевото недопонимаю?

[drongo]

Выложил лог ? сюда нужно лог, в помогите. Там просто обсуждение которое вы сами начали.

Добавлено через 19 минут
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
Выполните скрипт @ AVZ

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\System32\cscript.exe','');
 QuarantineFile('C:\RESTORE\S-1-5-21-1482476501-1644491937-682003330-1013\bob.exe','');
 QuarantineFile('C:\WINDOWS\system32\Drivers\si3132r5.sys','');
 QuarantineFile('C:\WINDOWS\System32\r_server.exe','');
 QuarantineFile('C:\WINDOWS\system32\msiexec.exe','');
 QuarantineFile('c:\windows\system32\msdtc.exe','');
 QuarantineFile('c:\windows\explorer.exe','');
 QuarantineFile('c:\windows\system32\clipsrv.exe','');
 DeleteFile('C:\RESTORE\S-1-5-21-1482476501-1644491937-682003330-1013\bob.exe');
DelCLSID('28ABC5C0-4FCB-11CF-AAX5-21CX1C635622');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(6);
ExecuteRepair(8);
ExecuteRepair(9);
BC_Activate;
RebootWindows(true);
end.

После перезагрузки:
- Очистите ( http://virusinfo.info/showthread.php?t=10025 ) темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи ///начиная от п.10 правил./// по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.

[LiNED]

Вот новые логи

[LiNED]

И еще по поводу лечения Windows Server 2003, будет ли АVZ проверять ево также хорошо как обычную систему и не повлияет ли это на работу самого сервера? Мне главное чтобы какиенить глубокозапрятанные настройки не сбросились, я в вопросе поднятия сервов еше желторотый птенчик )

[akok]

1. Базы AVZ старые
2. Карантина нет
3. Мусор из системы не вычищен.

После выполненных действий логи повторите.

[LiNED]

AVZ не обновляется. Выдает ошибку:
"Ошибка в ходе автоматического обновления - Ошибка загрузки файла с описанием обновления avzupd.zip - файл поврежден".У меня интернет через прокси с авторизацией. Пытался вводить в настройках обновления логин\пароль для доступа в инет, пробовал использовать настройки браузера, докачивает только до середины и выдает ошибку А мусор из системы вычищал через этот же AVZ как было написано в инструкции. Похоже придется обновлять AVZ дома и нести на работу

Добавлено через 1 час 17 минут

Вобщем завтра перешарю все с обновленным AVZ и вышлю логи и карантин. И простите меня пожалуйста за мою дубовость, тяжело в голове сразу держать работу, учебу и при этом еще нормально соображать. Голова идет кругом %|

[akok]

Скачайте новые базы и распакуйте
http://z-oleg.com/secur/avz_up/avzbase.zip

[LiNED]

Спасибо вам большое! Вот новые логи. Только скрипт который мне дали пришлось выполнить 2 раза, надеюсь ничего не сломается от этого

[V_Bond]

выполните скрипт

Код:

begin
DeleteFileMask('%Tmp%', '*.*', true);
 DeleteFileMask('C:\Documents and Settings\Администратор\Local Settings\Temporary Internet Files\', '*.*', true);
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

повторите логи

[LiNED]

Скрипт выполнил. Вот новые логи. После перезагрузки выдал ошибку с заголовком "lmgrd.exe", дословно:
"Инструкция по адресу "0х0012e85d" обратилась к памяти по адресу "0x00005d00". Память не может быть "written"."
Еще обнаружилось что под другими учетками кроме моей MS Word 2007 при запуске упорно и многократно пытается что-то установить, причом не пишет что именно, и при попытке печати в ClickBook printer этот самый ClickBook выдает ошибку и закрывается. На моей учетке таких проблем с вордом нету.

Впринципе проблема с amvo0.exe вроде бы разрешилась, симптомов этого виря больше не проявляется. Спасибо вам большое, с кликбуком я думаю я справлюсь

[Rene-gad]

- Выполните скрипт

Код:

begin
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\I386\SVCPACK\DTools.exe','');
 QuarantineFile('C:\WINDOWS\I386\SVCPACK\DTShEx.exe','');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 2 правил).

[LiNED]

Карантин залил. Логи заново делать?

[V_Bond]

DTools.exe_, DTShEx.exe_

Вредоносный код в файлах не обнаружен.
Логи повторите на всякий случай ....

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 2
• Обработано файлов: 29
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\\windows\\system32\\r_server.exe - not-a-virus:RemoteAdmin.Win32.RAdmin.22