igoryanich, Здравствуйте :) Так а дальше то что? »Ждите в порядке общей очереди. Перед выполнением логов, нужно выгрузить\закрыть все приложения, оставил только Internet Explorer и отключиться от Сети. Чего вы не сделали, в результате получился "километровый" лог. :) Уточняю один момент, на систему ставились какие-то патчи украшающие внешний вид системы, и изменяющие системные файлы? Беру в карантин, потом проверите их
c:\windows\explorer.exe
c:\windows\system32\ctfmon.exe
Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
SetServiceStart('GMSIPCI', 4);
SetServiceStart('wscsvc', 4);
StopService('GMSIPCI');
StopService('wscsvc');
QuarantineFile('c:\windows\explorer.exe','');
QuarantineFile('c:\windows\system32\ctfmon.exe','');
QuarantineFile('spmk.sys','');
QuarantineFile('E:\INSTALL\GMSIPCI.SYS','');
QuarantineFile('C:\WINDOWS\C:\WINDOWS\System32\svchost.exe','');
DeleteFile('C:\WINDOWS\C:\WINDOWS\System32\svchost.exe');
DeleteFile('E:\INSTALL\GMSIPCI.SYS');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('GMSIPCI');
BC_DeleteSvc('wscsvc');
BC_Activate;
RebootWindows(true);
end.
После перезагрузки выполните ещё один скрипт:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.В результате выполнения скрипта в папке AVZ будет создан файл - quarantine.zip. Отправьте его на newvirus@kaspersky.com (mailto:newvirus@kaspersky.com). Полученный ответ сообщите здесь.

Не игнорируйте рекомендации!
1. В Internet Explorer 7, отключите ActiveX и настройте безопасность. Рекомендуется использовать Firefox (http://www.mozilla-europe.org/ru/firefox/) с плагином NoScript (https://addons.mozilla.org/firefox/addon/722)
2. Устанавливайте все последние обновления с http://windowsupdate.microsoft.com/
3. Рекомендую проверять систему регулярно, утилитой CureIT (ftp://ftp.drweb.com/pub/drweb/cureit/cureit.exe)
4. Регулярно обновляйте базы для вашего антивируса.
5. Не работайте с правами Администратора на компьютере.

После всех процедур, повторите логи AVZ и HiJackThis, но во время создания логов, настоятельно рекомендую, отлючиться от Интернета, и закрыть все программы, оставив только Internet Explorer.

1."Беру в карантин, потом проверите их (c:\windows\explorer.exe
;c:\windows\system32\ctfmon.exe" непонял эту фразу.Чем их проверить.У меня бывает очень часто (при открытии папок и не только) выскакивает какая-то системная ошибка и там постоянно фигурирует эта explorer.exe.
. И ещё с иконками постоянная проблемма ставлю нравившуюся мне иконку например на GIF а она не только на GIF появляется но ещё и на 3GP и на MOV и ещё кое на каких, и что самое странное потом всё это проходит, и через время опять клинит.
2.По поводу логов и закрытия всех программ я понял.Ещё один момент:надо обязательно включать Internet Explorer или можно и Firefox? И выключать надо только инет или и локальную сеть тоже.
3.Вот этот самый длинный код я так понял его тоже надо в AVZ выполнить.Так ведь?
4.Второй скрипт выполнить там же? В AVZ?
5.В результате какого скрипта будет создан файл quarantine.zip. Первого или второго?
6.Вы пишите чтоб я в Internet Explorer 7 отключил ActiveX и т.д. Но я никогда ею не пользовался у меня Firefox? "использовать Firefox с плагином NoScript" после того как я этот плагин установлю там надо где-нибудь,что-нибудь в настройках менять.И ещё это плагин надо включить на время деланья логов или вообще?
7. Утилиту CureIt использую регулярно не по одному разу в день бывает.
8.У меня NOD32 базы обновляются примерно раз в сутки.
9.Я вот что не понимаю почему нельзя на правах администратора как это-то может влиять.


В самом низу вы пишите "После всех процедур, повторите логи AVZ и HiJackThis, но во время создания логов, настоятельно рекомендую, отлючиться от Интернета, и закрыть все программы, оставив только Internet Explorer". Я не очень понял зачем второй раз логи делать.

Ещё один момент:надо обязательно включать Internet Explorer »Цитата из правил (http://forum.oszone.net/post-717373-2.html) третий пункт.
Отключите восстановление системы, закройте все программы, включая антивирусные программы и firewall, оставьте запущенным только Internet Explorer.
Вот этот самый длинный код я так понял его тоже надо в AVZ выполнить.Так ведь? »Вы правильно поняли. :) Запускаете AVZ - выбираете меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.
И выключать надо только инет или и локальную сеть тоже. »И инернет и локальную сеть тоже. :yes:В результате какого скрипта будет создан файл quarantine.zip. Первого или второго? »В результате второго скрипта.Но я никогда ею не пользовался у меня Firefox? »Пользуйтесь FireFox'ом. Это общая рекомендация.И ещё это плагин надо включить на время деланья логов или вообще? »Нет, этот плагин как совет вообще.
Я не очень понял зачем второй раз логи делать. »Для того чтобы убедиться, что вирусов больше нет.

Как чувствует себя компьютер после выполнения скрита? Проблемы какие-то наблюдаются?

Я забыл Enternet Explorer включить.Ничего если я ещё раз первый скрипт выполню.Или не в коем случае?
После первого выполнения из папки с AVZ нужно появившиеся папки в сторону откинуть или нет?
И ещё. После установки NoScript чо-то нифига не скачивается. Где можно по настройкам инфо. почитать, а то на офиц. всё по английски и через переводчик мало что понятно.Или если есть время напишите где там что выставить в настройках надо.И вообще для чего она нужна,что она делает?

Ничего если я ещё раз первый скрипт выполню »Если вы уже выполнили этот скрипт:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
SetServiceStart('GMSIPCI', 4);
SetServiceStart('wscsvc', 4);
StopService('GMSIPCI');
StopService('wscsvc');
QuarantineFile('c:\windows\explorer.exe','');
QuarantineFile('c:\windows\system32\ctfmon.exe','');
QuarantineFile('spmk.sys','');
QuarantineFile('E:\INSTALL\GMSIPCI.SYS','');
QuarantineFile('C:\WINDOWS\C:\WINDOWS\System32\svchost.exe','');
DeleteFile('C:\WINDOWS\C:\WINDOWS\System32\svchost.exe');
DeleteFile('E:\INSTALL\GMSIPCI.SYS');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('GMSIPCI');
BC_DeleteSvc('wscsvc');
BC_Activate;
RebootWindows(true);
end.То второй раз его выполнять не нужно. :)
После первого выполнения из папки с AVZ нужно появившиеся папки в сторону откинуть или нет? »Ничего никуда не нужно откидывать.

Карантин quarantine.zip отсылали?

Сделайте повторные логи (http://forum.oszone.net/post-717373-2.html), проделав инструкции со 2-го пункта.

Карантин ещё не отсылал, потому что думал что сначала надо сделать первый скрипт, потом появившиеся папки откинуть и сделать второй скрипт и появившиеся папки (только от второго без первого) уже отправлять. Но я ошибся.
Щас сделаю второй,затем отправлю и отпишу. А что по-поводу noscript? Нету никакой ссылочки?


Отправил.А долго ли ответ примерно ждать. И папки после первого скрипта оставить или они больше не понадобяться?


Скрипт нужно выполнить я так понимаю стандартный 2 и 3.Или вот этот последний:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
SetServiceStart('GMSIPCI', 4);
SetServiceStart('wscsvc', 4);
StopService('GMSIPCI');
StopService('wscsvc');
QuarantineFile('c:\windows\explorer.exe','');
QuarantineFile('c:\windows\system32\ctfmon.exe','');
QuarantineFile('spmk.sys','');
QuarantineFile('E:\INSTALL\GMSIPCI.SYS','');
QuarantineFile('C:\WINDOWS\C:\WINDOWS\System32\svchost.exe','');
DeleteFile('C:\WINDOWS\C:\WINDOWS\System32\svchost.exe');
DeleteFile('E:\INSTALL\GMSIPCI.SYS');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('GMSIPCI');
BC_DeleteSvc('wscsvc');
BC_Activate;
RebootWindows(true);
end.

и затем этот текстовый файл который после запуска HiJackThis остаётся.Вот эти два.Да?
Ещё пару вопросов:как мне отключить востановление системы. И если я на NOD выключу файервол то в панели управления брандмауэр уже выключать не надо.Правильно?
Вы не удивляйтесь что так много вопросов,я впервые и просто боюсь что-нибудь не так сделать.

А что по-поводу noscript? Нету никакой ссылочки? »Поскольку я не использую FireFox, то сказать ничего не могу, можете задать ваш вопрос в этой теме - Mozilla FireFox (http://www.forum.oszone.net/thread-40807.html)И папки после первого скрипта оставить или они больше не понадобяться? »Пока ничего не удаляйте.
Скрипт нужно выполнить я так понимаю стандартный 2 и 3 »Второй и третий.
и затем этот текстовый файл который после запуска HiJackThis остаётся.Вот эти два.Да? »Нет, только второй. Тоесть, сделанный последним.как мне отключить востановление системы »Правой кнопкой мыши по Мой компьютер - Свойства - вкладка Восстановление системы - поставьте галочку "Отключить восстановление системы на всех дисках" - ОК.
И если я на NOD выключу файервол то в панели управления брандмауэр уже выключать не надо.Правильно? »Просто отключитесь от интернета и локальной сети и закройте NOD. :)

скрипт №2 http://exfile.ru/46021
скрипт №3 http://exfile.ru/46022
HiJackThis http://exfile.ru/46023

igoryanich, Проверил, логи чистые.

Проверьте ещё вашу систему Kaspersky Online Scanner (http://kaspersky.ru/virusscanner)'ом. Если у вас установлен Java, то нажмите кнопку Kaspersky Online Scanner. Выберите нужные диски и запустите сканирование. Если Java у вас не установлен, скачайте её с Java Runtime Environment (http://www.java.com/). Установите и выполните проверку. После окончания проверки сохраните, заархивируйте лог файл и прикрепите к сообщению.

У вас установлена программа Cheetah DVD Burner? Файл videocore.dll может быть от неё.

Cheetah DVD Burner нету.
Но Malwarebytes' Anti-Malware всё ещё находит videocore.dll (nod почему-то не находит и CureIt тоже).
Антивирус надо выкл. перед тем как on-line проверять или ещё какие нибудь требования.
И ещё как узнать стоит ли у меня java? В поиске что то выдаёт но там почти все папки пустые и не одного весомого файла нет.
А что будет если этот trojan vundo videocore.dll удалить анти малвэйром?

А что будет если этот trojan vundo videocore.dll удалить анти малвэйром? »
Этими утилитами специально от этого типа вирусов сканировали?
Также можно дополнительно воспользоваться Vundofix (http://www.atribune.org/public-beta/VundoFix.exe) или утилитой (http://www.symantec.com/content/en/us/global/removal_tool/threat_writeups/FixVundo.exe) от Symantec..
На virustotal проверяли?
Можно отослать на анализ одному из вендоров.
http://vms.drweb.com/sendvirus/

Нет ими ещё не пробовал.
Вот и я о Vundofix хотел спросить. Ну так что убивать его без проверки on-line или сначала Vundofix а потом on-line.

igoryanich,
Да ты просканируй сначала. Если и Vundofix подтвердит, то уже с большой вероятностью вирус. В любом случае ничто не мешает сделать backup файла.

Backup это востановление системы. Сделать контрольную точку что ли. Это?

igoryanich, Backup файла. Ну какое восстановление. Сохрани файл куда-нибудь, а из system32 удали.

А куда-нибудь это на компьютере или на флешку можно.
Не удивляйся что много вопросов, я просто боюсь что-нибудь не так сделать.
И вспомни себя когда впервые с этим столкнулся.

Открывал Nero и вылезло сообщение Malwarebytes' Anti-Malware что этот vundo пыпается установить соединение с чем то там. Я ничайно поместил его в карантин. И при повторной проверке Malwarebytes' Anti-Malware обнаружил:
производитель-Trojan.Banker
категория-Registry Value
элемент-HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform\user-agent: mozilla/4.0 (compatible; msie 6.0; windows nt 5.1; sv1;http://bsalsa.com)
прочее-Value: user-agent: mozilla/4.0 (compatible; msie 6.0; windows nt 5.1;sv1;http://bsalsa.com)

А куда-нибудь это на компьютере или на флешку можно. »Конечно можно.

А что с Trojan.Banker делать.

А что с Trojan.Banker делать. »Ничего пока делать не нужно. Сначала выполните эту просьбуДа ты просканируй сначала. Если и Vundofix подтвердит, то уже с большой вероятностью вирус. В любом случае ничто не мешает сделать backup файла. »