Примечу - cfdrive32.exe и msvmiode.exe пробовал удалить из автозагрузки Reg Organiser'ом, после перезагрузки cfdrive32.exe опять там появился.
На стадии диагностики сразу после загрузки системы и перед запуском AVZ убивал процесс cfdrive32.exe, если этого делать было не нужно, могу повторить сканирование с ним работающим.
Кроме этого при диагностике был в запущеном состоянии антивирус Avira. Не нашел, как выгрузить его средствами самого антивируса, поэтому просто отключил защиту.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\WINDOWS\system32\msvmiode.exe','');
QuarantineFile('C:\WINDOWS\cfdrive32.exe','');
QuarantineFile('C:\Documents and Settings\Nik\Application Data\ltzqai.exe','');
DeleteFile('C:\Documents and Settings\Nik\Application Data\ltzqai.exe');
DeleteFile('C:\WINDOWS\cfdrive32.exe');
DeleteFile('C:\WINDOWS\system32\msvmiode.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,3,true);
BC_Activate;
RegKeyParamDel('HKLM', 'Software\Microsoft\Windows NT\CurrentVersion\Winlogon', 'Taskman');
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=91342).
Сделайте новый лог virusinfo_syscure (только п.1 раздела Диагностика, в норм. режиме).
Мне лучше выполнить содержимое первого, или второго поста? Или оба сразу?
А если второго, то пункт 2 также стоит выполнять в защищённом режиме, или можно в обычном?
ADD: Ясно, значит первого. =)
Добавлено через 31 минуту
Карантин залил. Делаю диагностику. Вроде ничего такого не автозагружается пока.
Последний раз редактировалось Axolotl; 09.11.2010 в 04:53.
Причина: Добавлено
Вот. После первой перезагрузки всё было нормально, но после перезагрузки, запущенной после скрипта virusinfo_syscure опять начали возникать "циферные" файлики. Они были благополучно отловлены авирой и перемещены в авировский карантин.
Враг все еще жив.
Попробуйте удалить файл C:\Documents and Settings\Nik\Application Data\ltzqai.exe
с помощью IceSword, как описано здесь: http://virusinfo.info/showthread.php?t=17228
и сразу после этого выполните скрипт из сообщения #5.
После перезагрузки повторите virusinfo_syscure и лог HijackThis.
Внезапно получилось удалить Itzqai.exe
При том без утилит, просто в обычном режиме зашёл в C:\Documents and Settings\Nik\Application Data\ и удалил его вместе с "циферными" файлами.
Запустил тот скрипт, после перезагрузки сделал запрошенные логи, их прилагаю.
Сейчас, на всякий случай, сделаю проверку MBAM'ом, но пока ничего не запускается.
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: