я как понял avz-шные не открывает.
при выполнении скрипта видел что ,что то там писало про невозможность создания архива(не придал этому значения)
ладно. попробую еще раз.

при запуске с флэшки сохраняет нормально. с жесткого - с ошибкой.

yarcev20071, Вот ваш скрипт.

• Скрипт AVZ.
Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\windows\system32\cpadvai.dll','');
QuarantineFile('c:\windows\temp\bclib\krnln.fne','');
QuarantineFile('c:\windows\temp\bclib\exmlrpc.fne','');
QuarantineFile('c:\windows\temp\bclib\dp1.fne','');
QuarantineFile('c:\windows\help\other.exe','');
DeleteFile('c:\windows\system32\cpadvai.dll');
DeleteFile('c:\windows\temp\bclib\krnln.fne');
DeleteFile('c:\windows\temp\bclib\exmlrpc.fne');
DeleteFile('c:\windows\temp\bclib\dp1.fne');
DeleteFile('c:\windows\help\other.exe');
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После всех процедур выполните скрипт

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин quarantine.zip. Отправьте полученный файл quarantine.zip из папки AVZ через данную форму (http://support.kaspersky.ru/virlab/helpdesk.html). В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus" (без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Результаты ответа, сообщите здесь, в теме.

Повторите логи + сделайте лог HiJackThis

Drongo, выкладываю.

Ответ из вирлаба приходил?

На время выполнения скрипта Internet Explorer выгрузите из памяти

Выполните скрипт в AVZ
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\TEMP\BClib\Exmlrpc.fne');
DeleteFile('C:\WINDOWS\TEMP\BClib\dp1.fne');
DeleteFile('C:\WINDOWS\System32\Wecuenscc.dll');
DeleteFile('C:\WINDOWS\TEMP\BClib\krnln.fne');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end. Компьютер перезагрузится.

Сделайте новые логи

Ответ из вирлаба приходил? »
неа... даже как обычно, что отправлено вирусным аналитикам не пришло.... пока видимо.
сейчас сделаю скрипты.....

ой блин! я же обратный адрес вписать забыл на вирлаб! сейчас исправлю....

Здравствуйте,

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит антивирус с последними обновлениями. Письмо будет передано на рассмотрение вирусному аналитику.

dp1.fne
exmlrpc.fne

Вредоносный код в файлах не обнаружен.

krnln.fne - Trojan.Win32.Pasta.ipb
Other.exe - IM-Worm.Win32.VB.ln

В настоящий момент эти файлы определяются антивирусом со свежими антивирусными базами.

С уважением, Лаборатория Касперского

логи выкладываю..

Скачайте ComboFix здесь (http://subs.geekstogo.com/ComboFix.exe), здесь (http://download.bleepingcomputer.com/sUBs/ComboFix.exe) или здесь (http://www.forospyware.com/sUBs/ComboFix.exe) и сохраните на рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет, пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, файл C:\ComboFix.txt прикрепите к сообщению.
Примечание: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

выкладываю.....

блин.... а hosts то очистился.... а там к програмке адрес подвязан был... а я его не помню...
и налогоплательщик не запускается....

c:\windows\system32\Wecuenscc.dll проверьте на virustotal (http://www.virustotal.com/ru)
Ссылку на результат проверки сообщите

Вот это содержимое Вашего hosts
10.158.168.4 mainb

Эти файлы
c:\windows\System32\wscntfy.exe
c:\windows\System32\xmlprov.dllвосстановить с дистрибутива нужно

Сделайте еще раз логи AVZ

Вопрос: а система почему такая древняя?
Версия Windows: 5.1.2600, Service Pack 1

c:\windows\system32\Wecuenscc.dll проверьте на virustotal
Ссылку на результат проверки сообщите »
я его даже проверить не успел. мой eset его сразу удалил детектирует как win32/FlyStudio.OEP
c:\windows\System32\wscntfy.exe
c:\windows\System32\xmlprov.dll
восстановить с дистрибутива нужно »
можно "тупо" скопировать с рабочей системы?

логи сейчас сделаю...

Вопрос: а система почему такая древняя?
Цитата:
Версия Windows: 5.1.2600, Service Pack 1 »

этот вопрос к сожалению не ко мне.... как ее установили "тогда" так и пользуются....а я этот комп впервые "пощупал" пару недель назад...




вырубил антивирус... - вот http://www.virustotal.com/ru/analisis/caf8d4a680bef64ea4afc7d87905f756f777fa2b9654f927c171a40917ff9941-1274989575

я его даже проверить не успел. мой eset его сразу удалил »Где же он был раньше:)

можно "тупо" скопировать с рабочей системы? »Если сервис-пак такой же, то можно

логи "подошли"

Цитата yarcev20071:
я его даже проверить не успел. мой eset его сразу удалил »
Где же он был раньше »

не..... мой компьютер здоровый.... и на нем 7-ка.(с которого логи и отправляю)
а вот рядышком - тот самый....(который....."убитый")

можно "тупо" скопировать с рабочей системы? »
Если сервис-пак такой же, то можно »
блин... где ж я 1 sp то найду.... может все таки с 3-го подойдет?......:sorry:

где ж я 1 sp то найду.... может все таки с 3-го подойдет? »А почему бы не накатить SP3 на систему?

(где вы смайлики берете?) » :)
Нажмите Смайлики над окном для набора сообщений :cool:

Скачайте OTM by OldTimer (http://oldtimer.geekstogo.com/OTM.exe) или с зеркала (http://virusnet.info/forum/downloads.php?do=file&id=21&act=down) и сохраните на рабочий стол.
Запустите OTM (в ОС Windows Vista необходимо запускать через правую кн. мыши от имени администратора)
временно выключите антивирус, firewall и другое защитное программное обеспечение (http://www.bleepingcomputer.com/forums/topic114351.html). Выделите и скопируйте текст ниже (Ctrl+C)

:Processes
explorer.exe

:Services

:Files
C:\WINDOWS\TEMP\BClib\Exmlrpc.fne
C:\WINDOWS\TEMP\BClib\dp1.fne
C:\WINDOWS\System32\Wecuenscc.dll
C:\WINDOWS\TEMP\BClib\krnln.fne

:Reg

:Commands
[purity]
[emptytemp]
[start explorer]
[Reboot]

В OTM под панелью "Paste Instructions for Items to be Moved" (под желтой панелью) вставьте скопированный текст и нажмите кнопку "MoveIt!".

Компьютер перезагрузится.

После перезагрузки откройте папку "C:\_OTM\MovedFiles", найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), прикрепите его к следующему сообщению.

где ж я 1 sp то найду.... может все таки с 3-го подойдет? »
А почему бы не накатить SP3 на систему? »
да ну.... там куча этих программ всякие гуляевы, сэды, пенсионки, плательщики....
не факт ,что обновление благосклонно на них повлияет..

пошел делать логи.....

лог не создается... но все 4 файла в той папке.

лог не создается... »Что пишет?

Пролечитесь с помощью LiveCD (http://virusinfo.info/showpost.php?p=306441&postcount=2)

Потом новые логи

лог не создается... »
Что пишет? »
да ничего не пишет. вроде все выполняет, уходит в перезагрузку и лог файл не создает.

с лайва сегодня уже не "долечусь", а завтра комп нужен в организации.. пока просто поставлю антивирус( поставил - сразу сдетектировал resetservice в system 32), завтра посмотрю как там с программным обеспечением( пусть специалист на них поработает... все ли в порядке( я в этих узконаправленных программах не знаток)
а вечерком наверное обратно к себе возьму.... там и продолжим.
thyrex,
ОГРОМНОЕ СПАСИБО ЗА ПОМОЩЬ!
:good: :laiel: :hi:

ОК, продолжим завтра. А вы за день скачаете образ LiveCD и запишете его на болванку.