прошу помощи!

[Sirenko]

действовал согласно Правилам по краткой схеме. CureIt сохранить не удалось ни с оффициального ресурса, ни с зеркал (работать с другой машиной пока не могу). В процессе avz4.exe переименовал на 4zva.exe.

Симптомы классические для abp470n5: блокировка Диспетчера задач, regedit и т.д. под предлогом отключения администратором.

virusinfo_syscheck.zip и virusinfo_syscure.zip выложил с расширением .txt, т.к. с оригинальным расширением не позволяет.

virusinfo_syscheck.txt

virusinfo_syscure.txt

info.txt

log.txt

virusinfo_syscheck.txt

virusinfo_syscure.txt

info.txt

log.txt

[akoK]

virusinfo_syscure.txt

А можно файлы с расширением zip?

[DJFlint]

Достаточно поменять расширение на zip.

[edde]

Здравствуйте

Выполните скрипт

beginSearchRootkit(true, true);SetAVZGuardStatus(true);StopService('abp470n5');QuarantineFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\winfewkar.exe',' ');QuarantineFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\winouhspx.exe',' ');QuarantineFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\winlidx.exe',' ');QuarantineFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\winshvu.exe',' ');QuarantineFile('C:\WINDOWS\Cleanup.exe',' ');QuarantineFile('C:\WINDOWS\TASKMAN.EXE',' ');QuarantineFile('C:\WINDOWS\system32\batt.dll',' ');QuarantineFile('C:\WINDOWS\NOTEPAD.EXE',' ');DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\winfewkar.exe');DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\winouhspx.exe');DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\winlidx.exe');DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\winshvu.exe');DeleteFile('C:\WINDOWS\Cleanup.exe');DeleteFile('C:\WINDOWS\TASKMAN.EXE');DeleteFile('C:\WINDOWS\NOTEPAD.EXE');BC_ImportALL;ExecuteSysClean;BC_DeleteSvc('abp470n5');BC_Activate;ExecuteRepair(6);ExecuteRepair(8);ExecuteRepair(9);ExecuteRepair(11);ExecuteRepair(17);  RebootWindows(true);end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки выполнить второй скрипт:

beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end.

В результате выполнения скрипта будет сформирован карантин quarantine.zip Вышлите полученный файл quarantine.zip на newvirus@kaspersky.com. Результаты ответа, сообщите здесь, в теме.

Скачайте и запустите http://oldtimer.geekstogo.com/TFC.exe

перезагрузите компьютер

Скачайте Cure it http://www.freedrweb.com/cureit/

Повторите логи

Изменено 25 января, 2010 пользователем edde

[Sirenko]

Благодарю!

буду действовать согласно инструкции.

[Sirenko]

в ответ на запуск скрипта выдает ошибку

Line: 30

Char: 5

Error: Expected identifier

в ответ на запуск скрипта выдает ошибку

Line: 30

Char: 5

Error: Expected identifier

только что понял:) запускаю в АВЗ. извените за недоходливость.

[edde]

Вы не до конца скопировали скрипт Line: 30 Char: 5 это точка после end её наверное плохо видно :) будьте внимательнее.

[Sirenko]

не могу отправить на newvirus@kaspersky.com файл quarantine.zip - оно упорно блокирует страницы ящика "Написать письмо" и "Отправить файл". Выложил файл здесь - если можно, отошлите его с разширением .zip. ещё раз извените :)

i

Уведомление:

Удалил карантин

Изменено 25 января, 2010 пользователем akoK

[edde]

i

Уведомление: Уберите карантин.

Новые логи сделайте и лог RSIT обязательно Изменено 25 января, 2010 пользователем edde

[Sirenko]

здравствуйте!

пауза затянулась, т.к. вчера с вечера запустил полный скан CureIt (вот почти сутки и вышло :g: ). Вирус определяется как Win32.Sector.12. Все файлы вроде бы как исцелены.

Вот логи:

virusinfo_syscheck.zip

virusinfo_syscure.zip

log.txt

info.txt

virusinfo_syscheck.zip

virusinfo_syscure.zip

log.txt

info.txt

[edde]

Скачайте Icesword или с зеркала

Запустите программу.

Внизу слева выберите меню File.

Появится аналог проводника. Найдите в нем файл

C:\WINDOWS\system32\drivers\tpljhh.sy

Нажмите по нему правой кнопкой мыши и выберите force delete.

На запрос потверждения ответьте "да".

Перезагрузите компьютер.

Выполните скрипт авз

beginSearchRootkit(true, true);SetAVZGuardStatus(true);QuarantineFile('C:\WINDOWS\system32\drivers\tpljhh.sys','');DeleteFile('C:\WINDOWS\system32\drivers\tpljhh.sys');BC_ImportALL;ExecuteSysClean;BC_DeleteSvc('abp470n5');BC_Activate;RebootWindows(true);end.

Компьтер перезагрузится

Подключитесь к интернет обновите базы авз, повторите логи

[Sirenko]

edde, Icesword не показывает этого файла. Посмотрел я через Администрирование/Службы и устройства список devices - есть там эта abp470np (путь C:\WINDOWS\system32\drivers\tpljhh.sys), но уже отключена. Я ее удалил. Как быть далее?

[Sirenko]

edde, Icesword не показывает этого файла. Посмотрел я через Администрирование/Службы и устройства список devices - есть там эта abp470np (путь C:\WINDOWS\system32\drivers\tpljhh.sys), но уже отключена. Я ее удалил. Как быть далее?

После выполнил Ваш скрипт, обновил базы, получил логи:

virusinfo_syscheck.zip

virusinfo_syscure.zip

log.txt

virusinfo_syscheck.zip

virusinfo_syscure.zip

log.txt

[edde]

выполните скрипт авз

beginExecuteRepair(6);ExecuteRepair(11);ExecuteRepair(12);ExecuteRepair(17);RebootWindows(true);end.

Компьтер перезагрузится

карантин созданный во время подготовки предыдущих логов quarantine.zip отправьте на newvirus@kaspersky.com. Результаты ответа, сообщите здесь, в теме.

Скачайте Malwarebytes' Anti-Malware, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - нажмите "Remove Selected" (удалить выделенные). Откройте лог и скопируйте в сообщение.

Изменено 26 января, 2010 пользователем edde

[Sirenko]

Отчет MBAM

Проверено объектов: 253335

Прошло времени: 25 minute(s), 58 second(s)

Заражено процессов в памяти: 0

Заражено модулей в памяти: 0

Заражено ключей реестра: 0

Заражено значений реестра: 0

Заражено параметров реестра: 3

Заражено папок: 0

Заражено файлов: 2

Заражено процессов в памяти:

(Вредоносные программы не обнаружены)

Заражено модулей в памяти:

(Вредоносные программы не обнаружены)

Заражено ключей реестра:

(Вредоносные программы не обнаружены)

Заражено значений реестра:

(Вредоносные программы не обнаружены)

Заражено параметров реестра:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Заражено папок:

(Вредоносные программы не обнаружены)

Заражено файлов:

C:\Program Files\Total Commander\Soft\fitW\fitW.exe (Malware.Packer) -> Quarantined and deleted successfully.

C:\Program Files\Total Commander\Plugins\arc\Default.sfx (Malware.Packer) -> Quarantined and deleted successfully.

[edde]

Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду Combofix /u, нажмите кнопку "ОК"

Скачайте OTCleanIt или с зеркала, запустите, нажмите Clean up[/img]

Как самочувствие?

[Sirenko]

Как самочувствие?

Явно веселее :)!

Windows не находит ComboFix. OTCleanIt выполнил. Единственное, что не так: не запускаются некоторые службы Администрирования - например Управление компьютером на запуск выдает окно

(mmc.exe - Не удалось найти компонент)

Приложению не удалось запуститься, поскольку MSIMG32.dll не был найден. Повторная установка приложения может исправить проблему.

MSIMG32.dll в папке system32 есть, но при запуске выдает: MSIMG32.dll была загружена, но найти точку входа для DllRegisterServer не удалось. Загрузить файл невозможно.

От newvirus ответа пока нет.

Еще один вопрос: я во время заражения компьютера сдуру сунул в USB свою чистую флешку. Что с ней делать теперь?

edde, спасибо за терпение!

[edde]

Выполните скрипт авз

beginRegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);ExecuteRepair(6);ExecuteRepair(8);RebootWindows(true);end.

компьютер перезагрузится

если не поможет

Попробуйте выполнить проверку системных файлов

Вставьте диск с дистрибутивом windows в привод, откройте командную строку наберите

sfc /scannow

Дождитесь окончания проверки системных файлов.

Установите настройки безопасности IE по умочанию

И повторите логи.

[Sirenko]

выполнил оба варианта, но Консоль управления не запускается по той же причине.

логи авз (rsit был удален вместе с папкой во время сеанса OTCleanIt, загрузить заново?):

virusinfo_syscheck.zip

virusinfo_syscure.zip

virusinfo_syscheck.zip

virusinfo_syscure.zip

[edde]

Да, rsit придется загрузить по новой.

Пришлите карантин на myedde[@]mail.ru

Изменено 27 января, 2010 пользователем edde

[Sirenko]

ну вот хоть убейте, не могу quarantine.zip (4,7 МВ) загрузить на отправку! Пользуюсь порталом ukr.net, загружает 192 кВ и дальше сбой. Буду пытаться еще.

сделал новые логи:

virusinfo_syscheck.zip

virusinfo_syscure.zip

log.txt

info.txt

virusinfo_syscheck.zip

virusinfo_syscure.zip

log.txt

info.txt

[edde]

http://upload.tempfile.ru/

[Sirenko]

только что выслал Вам карантин на почту (побил на 3 части)

[edde]

В карантине чисто,так что можно вас поздравить

Скачайте и распакуйте в отдельную папку - Registry Search (зеркало)

Запустите утилиту.

В верхнем окне, предназначенном для поиска введите <.......>

и нажмите кнопку "OK".

В блокноте откроется текст, скопируйте его и вставьте в следующее сообщение.

В верхнем окне, предназначенном для поиска введите, fystemroot

Скачайте и запустите http://support.kaspersky.ru/downloads/util...ity_regkeys.zip

перезагрузите компьютер. (Не запускайте ключи не для своей системы).

Изменено 27 января, 2010 пользователем edde

[Sirenko]

Windows Registry Editor Version 5.00

; Registry Search 2.0 by Bobbi Flekman © 2005

; Version: 2.0.6.0

; Results at 27.01.2010 17:02:33 for strings:

; 'fystemroot'

; Strings excluded from search:

; (None)

; Search in:

; Registry Keys Registry Values Registry Data

; HKEY_LOCAL_MACHINE HKEY_USERS

; End Of The Log...