Гляньте логи пожалуйста

[Карбюратор]

Вообще проблема в том что при подключение к интету комп перезагружается, да и вообще помойму много чего подхватил после подключения другого жосткого диска.

virusinfo_syscheck.zip

virusinfo_syscure.zip

virusinfo_syscheck.zip

virusinfo_syscure.zip

[thyrex]

Выполните скрипт в AVZ

beginSearchRootkit(true, true);SetAVZGuardStatus(True);TerminateProcessByName('c:\windows\explorer.exe:userini.exe');QuarantineFile('c:\windows\explorer.exe:userini.exe:$DATA','');QuarantineFile('C:\WINDOWS\system32\XP-8A3E1595.EXE','');QuarantineFile('C:\Documents and Settings\Администратор\Application Data\dxlreu.exe','');QuarantineFile('c:\windows\explorer.exe:userini.exe','');DeleteFile('c:\windows\explorer.exe:userini.exe');DeleteFile('C:\Documents and Settings\Администратор\Application Data\dxlreu.exe');DeleteFile('C:\WINDOWS\system32\XP-8A3E1595.EXE');DeleteFile('c:\documents and settings\администратор\application data\dxlreu.exe,explorer.exe,');DeleteFile('c:\windows\explorer.exe:userini.exe:$DATA');RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','userini');RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','userini');RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','userini');RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','userini');RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');BC_ImportAll;ExecuteSysClean;BC_Activate;RebootWindows(true);end. 

Компьютер перезагрузится.

Выполните скрипт в AVZ

beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end.

quarantine.zip из папки AVZ отправьте через форму http://support.kaspersky.ru/virlab/helpdesk.html. В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus"(без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Полученный ответ сообщите здесь.

Сделайте новые логи (полный комплект)

[Карбюратор]

virusinfo_syscheck.zip

virusinfo_syscure.zip

От касперского ещё нечего не приходило, посмотрите новые логи кажется опять что то подцепил, при подключении к инету стремительно бежит трафик.

virusinfo_syscheck.zip

virusinfo_syscure.zip

[edde]

Выполните скрипт авз

beginSearchRootkit(true, true);SetAVZGuardStatus(True);TerminateProcessByName('c:\windows\explorer.exe:userini.exe');TerminateProcessByName('c:\windows\temp\wpv051274174438.exe');QuarantineFile('c:\windows\explorer.exe:userini.exe','');QuarantineFile('c:\windows\temp\wpv051274174438.exe','');QuarantineFile('c:\docume~1\9335~1\locals~1\temp\e_4\krnln.fnr','');QuarantineFile('c:\docume~1\9335~1\locals~1\temp\e_4\com.run','');QuarantineFile('c:\docume~1\9335~1\locals~1\temp\e_4\dp1.fne','');QuarantineFile('c:\docume~1\9335~1\locals~1\temp\e_4\shell.fne','');QuarantineFile('c:\docume~1\9335~1\locals~1\temp\e_4\eapi.fne','');QuarantineFile('c:\docume~1\9335~1\locals~1\temp\e_4\internet.fne','');QuarantineFile('c:\documents and settings\администратор\csrss.exe','');QuarantineFile('c:\windows\system32\userini.exe','');QuarantineFile('c:\windows\system32\svchost.exe:exe.exe:$data','');QuarantineFile('c:\windows\explorer.exe:userini.exe:$data','');QuarantineFile('c:\documents and settings\администратор\local settings\temp\ixp000.tmp\ns.exe','');QuarantineFile('c:\downloads\архивы\tz tools\common.dll.bak','');QuarantineFile('c:\downloads\архивы\tz tools\dressroom.core.dll.bak','');QuarantineFile('c:\downloads\архивы\tz tools\dressroom.ui.dll.bak','');QuarantineFile('c:\downloads\архивы\tz tools\localpda.dll.bak','');QuarantineFile('c:\downloads\архивы\tz tools\tz tools.exe.bak','');QuarantineFile('c:\games\left 4 dead 2\bin\engine.dll.bak','');QuarantineFile('c:\neospy\nspl.dll.bak','');QuarantineFile('c:\system volume information\_restore{a2a12c99-0eb9-4772-b251-e750fd808122}\rp1\a0001011.exe:userini.exe:$data','');QuarantineFile('c:\system volume information\_restore{a2a12c99-0eb9-4772-b251-e750fd808122}\rp1\a0001076.exe:userini.exe:$data','');QuarantineFile('c:\system volume information\_restore{a2a12c99-0eb9-4772-b251-e750fd808122}\rp1\a0001157.exe:userini.exe:$data','');QuarantineFile('c:\игры\burnout paradise the ultimate box\backup\burnoutparadise.exe.bak','');QuarantineFile('d:\games\painkiller resurection\bin\resurrectionupdater.exe.657920.bak','');DeleteFile('c:\windows\explorer.exe:userini.exe');DeleteFile('c:\windows\temp\wpv051274174438.exe');DeleteFile('c:\docume~1\9335~1\locals~1\temp\e_4\krnln.fnr');DeleteFile('c:\docume~1\9335~1\locals~1\temp\e_4\com.run');DeleteFile('c:\docume~1\9335~1\locals~1\temp\e_4\dp1.fne');DeleteFile('c:\docume~1\9335~1\locals~1\temp\e_4\shell.fne');DeleteFile('c:\docume~1\9335~1\locals~1\temp\e_4\eapi.fne');DeleteFile('c:\docume~1\9335~1\locals~1\temp\e_4\internet.fne');DeleteFile('c:\documents and settings\администратор\csrss.exe');DeleteFile('c:\windows\system32\userini.exe');DeleteFile('c:\windows\system32\svchost.exe:exe.exe:$data');DeleteFile('c:\windows\explorer.exe:userini.exe:$data');DeleteFile('c:\documents and settings\администратор\local settings\temp\ixp000.tmp\ns.exe');DeleteFile('c:\downloads\архивы\tz tools\common.dll.bak');DeleteFile('c:\downloads\архивы\tz tools\dressroom.core.dll.bak');DeleteFile('c:\downloads\архивы\tz tools\dressroom.ui.dll.bak');DeleteFile('c:\downloads\архивы\tz tools\localpda.dll.bak');DeleteFile('c:\downloads\архивы\tz tools\tz tools.exe.bak');DeleteFile('c:\games\left 4 dead 2\bin\engine.dll.bak');DeleteFile('c:\neospy\nspl.dll.bak');DeleteFile('c:\system volume information\_restore{a2a12c99-0eb9-4772-b251-e750fd808122}\rp1\a0001011.exe:userini.exe:$data');DeleteFile('c:\system volume information\_restore{a2a12c99-0eb9-4772-b251-e750fd808122}\rp1\a0001076.exe:userini.exe:$data');DeleteFile('c:\system volume information\_restore{a2a12c99-0eb9-4772-b251-e750fd808122}\rp1\a0001157.exe:userini.exe:$data');DeleteFile('c:\игры\burnout paradise the ultimate box\backup\burnoutparadise.exe.bak');DeleteFile('d:\games\painkiller resurection\bin\resurrectionupdater.exe.657920.bak');RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','userini');RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','userini');RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','userini');RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','userini');BC_ImportAll;ExecuteSysClean;BC_Activate;RebootWindows(true);end.

Компьютер перезагрузится

выполните второй скрипт

beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end.

+

Cкачайте Gmer или с зеркала. Запустите программу. После автоматической экспресс-проверки, отметьте галочкой все жесткие диски и нажмите на кнопку Scan. После окончания проверки сохраните его лог (нажмите на кнопку Save) под каким хотите именем, например Gmer.log и прикрепите лог сюда.

Карантин вышлите на ящик myedde@mail.ru

повторите логи, лог RSIT не забудьте

Изменено 18 мая, 2010 пользователем edde

[Карбюратор]

Логи авз:

virusinfo_syscure.zip virusinfo_syscheck.zip

Логи gmer:

LoG_gmer.log

Логи rsit:

info.txt log.txt

Карантин пока отправить не могу.

virusinfo_syscure.zip

virusinfo_syscheck.zip

LoG_gmer.log

info.txt

log.txt

[edde]

Сохраните приведённый ниже текст в файл cleanup.bat в ту же папку, где находится gmer.exe

gmer.exe -del service glahpmgmer.exe -del service hsxrtsugmer.exe -del file "C:\WINDOWS\system32\nfvwu.dll"gmer.exe -del file "c:\windows\explorer.exe:userini.exe"gmer.exe -del file "c:\docume~1\9335~1\locals~1\temp\e_4\krnln.fnr"gmer.exe -del file "c:\docume~1\9335~1\locals~1\temp\e_4\com.run"gmer.exe -del file "c:\docume~1\9335~1\locals~1\temp\e_4\dp1.fne"gmer.exe -del file "c:\docume~1\9335~1\locals~1\temp\e_4\shell.fne"gmer.exe -del file "c:\docume~1\9335~1\locals~1\temp\e_4\eapi.fne"gmer.exe -del file "c:\docume~1\9335~1\locals~1\temp\e_4\internet.fne"gmer.exe -del file "c:\recycler\s-1-5-21-6952118123-5709343222-053944702-7291\yv8g67.exe"gmer.exe -del file "c:\documentsandsettings\администратор\applicationdata\lwtwfl.exe"gmer.exe -del file "c:\documentsandsettings\администратор\ctfmon.exe"gmer.exe -del file "c:\windows\system32\userini.exe"gmer.exe -del file "c:\windows\system32\svchost.exe:exe.exe:$data"gmer.exe -del file "c:\windows\explorer.exe:userini.exe:$data"gmer.exe -del file "c:\documentsandsettings\администратор\localsettings\temp\400.exe"gmer.exe -del file "c:\documentsandsettings\администратор\localsettings\temp\417.exe"gmer.exe -del file "c:\documentsandsettings\администратор\localsettings\temp\443.exe"gmer.exe -del file "c:\systemvolumeinformation\_restore{a2a12c99-0eb9-4772-b251-e750fd808122}\rp1\a0001011.exe:userini.exe:$data"gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\hsxrtsu"gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\glahpm"gmer.exe -del reg "HKLM\SYSTEM\ControlSet006\Services\hsxrtsu"gmer.exe -del reg "HKLM\SYSTEM\ControlSet006\Services\glahpm"gmer.exe -del reg "HKLM\SYSTEM\ControlSet004\Services\dqorufw"gmer.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\dqorufw"gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\dqorufw"gmer.exe -del reg "HKLM\SYSTEM\ControlSet001\Services\dqorufw"gmer.exe -reboot

И запустите сохранённый пакетный файл cleanup.bat.

Внимание: Компьютер перезагрузится!

Сделайте новый лог gmer.

Скачайте Dr.Web® LiveCD проведите полную проверку

+ Повторите пакет стандартных логов

Изменено 18 мая, 2010 пользователем edde

[Карбюратор]

Вирусы окончательно убили систему, не одна программа не запускается, я установил новую ос (win 7) и в ней сделал проверку гляньте логи.

virusinfo_syscheck.zip virusinfo_syscure.zip

virusinfo_syscheck.zip

virusinfo_syscure.zip

[edde]

Если это логи с новой системы то я вас поздравляю, у вас активно распостраняемый зловред, игрушка ваша видимо выкачанная из сети - так же с сюрпризом.

лог dds сделайте еще

выполните скрипт авз

beginSearchRootkit(true, true);SetAVZGuardStatus(True);QuarantineFile('d:\documents and settings\администратор\local settings\temp\400.exe','');QuarantineFile('d:\documents and settings\администратор\local settings\temp\417.exe','');QuarantineFile('d:\documents and settings\администратор\local settings\temp\443.exe','');QuarantineFile('d:\documents and settings\администратор\local settings\temp\539.exe','');QuarantineFile('d:\documents and settings\администратор\local settings\temporary internet files\content.ie5\qsp8ps7w\cscsa[1].exe','');QuarantineFile('d:\windows\explorer.exe:userini.exe:$data','');QuarantineFile('D:\WINDOWS\system32\u5q1ghm81j.exe','');QuarantineFile('D:\NeoSpy\hl.dll',''); QuarantineFile('D:\Downloads\Архивы\rufull.ru.full.game.Hearts.of.Iron.III\rufull.ru.full.game.Hearts.of.Iron.III\map\cache\quad_1761.bin.gz',''); QuarantineFile('D:\Documents and Settings\Администратор\Рабочий стол\3G Modem Manager.exe',''); QuarantineFile('D:\Documents and Settings\Администратор\Мои документы\Депозит и другие\3G Modem Manager.zip/{ZIP}/3G Modem Manager.exe',''); QuarantineFile('D:\Documents and Settings\Администратор\Мои документы\Депозит и другие\3G Modem Manager.exe',''); QuarantineFile('D:\Documents and Settings\Администратор\Local Settings\Temporary Internet Files\Content.IE5\QSP8PS7W\cscsa[1].exe','');DeleteFile('D:\WINDOWS\system32\u5q1ghm81j.exe'); DeleteFile('D:\NeoSpy\hl.dll'); DeleteFile('D:\Downloads\Архивы\rufull.ru.full.game.Hearts.of.Iron.III\rufull.ru.full.game.Hearts.of.Iron.III\map\cache\quad_1761.bin.gz'); DeleteFile('D:\Documents and Settings\Администратор\Рабочий стол\3G Modem Manager.exe'); DeleteFile('D:\Documents and Settings\Администратор\Мои документы\Депозит и другие\3G Modem Manager.zip/{ZIP}/3G Modem Manager.exe'); DeleteFile('D:\Documents and Settings\Администратор\Мои документы\Депозит и другие\3G Modem Manager.exe'); DeleteFile('D:\Documents and Settings\Администратор\Local Settings\Temporary Internet Files\Content.IE5\QSP8PS7W\cscsa[1].exe');DeleteFile('d:\documents and settings\администратор\local settings\temp\400.exe');DeleteFile('d:\documents and settings\администратор\local settings\temp\417.exe');DeleteFile('d:\documents and settings\администратор\local settings\temp\443.exe');DeleteFile('d:\documents and settings\администратор\local settings\temp\539.exe');DeleteFile('d:\documents and settings\администратор\local settings\temporary internet files\content.ie5\qsp8ps7w\cscsa[1].exe');RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);BC_ImportAll;ExecuteSysClean;BC_Activate;RebootWindows(true);end.

Скачайте http://www.freedrweb.com/livecd/ проведите проверку всех дисков - это обязательно

[Карбюратор]

Ссылка на dds не открывается

[Карбюратор]

После выполнения скрипта авз зависла комп не перезагрузился.

virusinfo_syscheck.zip

virusinfo_syscure.zip

virusinfo_syscure.zip

virusinfo_syscure.zip

[edde]

Вы выполнили?

Скачайте http://www.freedrweb.com/livecd/ проведите проверку всех дисков - это обязательно

Изменено 26 мая, 2010 пользователем edde

[Карбюратор]

http://www.freedrweb.com/livecd/ не открывается...

[akoK]

Карбюратор: у вебовцев проблемы с DNS.

http://virusnet.ifolder.ru/17884321 - временно залил cureit на файлообменник.

[Карбюратор]

Карбюратор: у вебовцев проблемы с DNS.

http://virusnet.ifolder.ru/17884321 - временно залил cureit на файлообменник.

А так это просто cureit, есть у меня сейчас поставлю проверку.

[Карбюратор]

Сделал проверку нашлось 8 зараженных объектов.