Здравствуйте, нужна помощь.
Все рекомендации выполнил. Вот логи.
И ещё - в System32 Нашёл четыре ексешника(~50-100кб) с рандомным именем, непонятной иконкой, созданных сегодня. И ещё несколько созданных неделю назад. Те которые были созданы неделю назад Cureit нашёл и удалил. А сегодняшние четыре ни нод32, ни cureit не видит. Что с ними делать?

Здравствуйте!

Создайте файл Static.bat с содержимым:
Reg EXPORT "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters" "Static_Marshrut.reg" >nul
Сохраните его и запустите двойным щелчком. Появившийся рядом файл Static_Marshrut.reg запакуйте в архив и прикрепите.

Выполните скрипт в AVZ
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('%_SYS_MOD_PATH%','');
QuarantineFile('Srssime.sys','');
QuarantineFile('c:\program files\plugin.exe','');
QuarantineFile('C:\Program Files\AskSBar\bar\1.bin\ASKSBAR.DLL','');
QuarantineFile('C:\Program Files\AskSBar\SrchAstt\1.bin\A2SRCHAS.DLL','');
QuarantineFile('\\?\globalroot\systemroot\system32\o4oo0cf.exe','');
QuarantineFile('c:\documents and settings\валера\application data\adsubscribe\adsubscribe.dll','');
DeleteFile('C:\Program Files\AskSBar\bar\1.bin\ASKSBAR.DLL');
DeleteFile('C:\Program Files\AskSBar\SrchAstt\1.bin\A2SRCHAS.DLL');
DeleteFile('c:\program files\plugin.exe');
DeleteFile('\\?\globalroot\systemroot\system32\o4oo0cf.exe');
DeleteFile('c:\documents and settings\валера\application data\adsubscribe\adsubscribe.dll');
DelCLSID('{82C885EE-6B87-4D51-9EF4-0CFE9FADA900}');
DelBHO('{F0D4B231-DA4B-4daf-81E4-DFEE4931A4AA}');
DelBHO('{0579B4B1-0293-4d73-B02D-5EBB0BA0F0A2}');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','plugin');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(20);
RebootWindows(true);
end.

Комп перезагрузится
Выполните скрипт

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин quarantine.zip. Отправьте полученный файл quarantine.zip из папки AVZ через данную форму(http://support.kaspersky.ru/virlab/helpdesk.html). В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus" (без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Полученный ответ сообщите здесь.

Пофиксьте в HJT
R3 - URLSearchHook: (no name) - {0579B4B6-0293-4d73-B02D-5EBB0BA0F0A2} - C:\Program Files\AskSBar\SrchAstt\1.bin\A2SRCHAS.DLL
R3 - URLSearchHook: (no name) - - (no file)
F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,\\?\globalroot\systemroot\system32\dlgqlfq.exe,\\?\globalr oot\systemroot\system32\TdjlFY2.exe,\\?\globalroot\systemroot\system32\Cas1lNY.exe,\\?\globalroot\sy stemroot\system32\MgC5Nlx.exe,\\?\globalroot\systemroot\system32\o4oO0Cf.exe,
O2 - BHO: Ask Search Assistant BHO - {0579B4B1-0293-4d73-B02D-5EBB0BA0F0A2} - C:\Program Files\AskSBar\SrchAstt\1.bin\A2SRCHAS.DLL
O2 - BHO: Ask Toolbar BHO - {F0D4B231-DA4B-4daf-81E4-DFEE4931A4AA} - C:\Program Files\AskSBar\bar\1.bin\ASKSBAR.DLL
O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)
O3 - Toolbar: Ask Toolbar - {F0D4B239-DA4B-4daf-81E4-DFEE4931A4AA} - C:\Program Files\AskSBar\bar\1.bin\ASKSBAR.DLL
O20 - Winlogon Notify: reset5 - reset5.dll (file missing)
O20 - Winlogon Notify: spoowstd - C:\WINDOWS\


Повторите логи!
ОС подлинная или пиратка???

Такс, проблема решилась - спасибо!!!
Sunforger, Sunforger,
В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus" »
Если честно не понял, что тут нужно сделать. Просто в той строке написать virus? Или нужно сделать пароль к архиву карантин? и какой указать продукт Касперского, который я использую - AVZ? В общем пока не выслал.



В HJT пофиксил, кроме строк начинающихся с 02 - у меня тех двух строк не было.

Хочу ещё сказать, что 4 месяца назад у меня была такая же проблема. И тоже появились странные файлы в систем32. Но тогда я их просто удалил и ничего про них не сказал и больше их не видел. Вот тема
http://forum.oszone.net/thread-167110.html

ОС - подлинная, корпоративная...

Логи как и просили повторил.

Профиксьте в HJT
O16 - DPF: {64311111-1111-1121-1111-111191113457} - file://c:\eied_s7.cab
В остальном по логу чисто...
ОС - подлинная, корпоративная... »
А пользуемся ломалкой! Не надо нас так пугать.... :)
Проверим???

проверка валидности Windows с помощью MGADiag(http://go.microsoft.com/fwlink/?linkid=52012)

"virus" »
без кавычек...)
Продукт можете и AVZ написать

а насчёт прошлой темы.. странные файлы вы удалили, а хелперы следы подчистили...
Потому что все файлы - либо легал, либо вирь - одно из двух... :)

ОС ставилась сверху на ломанную, естественно без дефрагментации и прочего. Может что-то осталось.. Но заходить на сайт майкрософта и там проверять такие вещи мне чёт не хочется :)
без кавычек...)
Продукт можете и AVZ написать »
Да я не понял значения слова- пароль на архив.
В общем выслал им архив, в строке "Подробное описание возникшей ситуации:" написал просто слово virus. Как получу ответ, сразу отпишусь, Поэтому пока не буду отмечать проблему решённой.

а насчёт прошлой темы.. странные файлы вы удалили, а хелперы следы подчистили...
Потому что все файлы - либо легал, либо вирь - одно из двух... »

Файл 100кб, название типа y5gM8g1. Дата создания в день, когда у меня появилась эта проблема. Легалом, ну никак не пахнет. В прошлый раз я их удалил, сейчас пока не трогаю.
Может мне их заархивировать пока на время? А то раздражают :)

А расширение... Какое точно имя у файла с раширением?
напишите полный путь
А насчёт подлинности ОС, у вас программка стоит для взлома как таковых вещей, потому и спросила.... ;)

Размещение: C:\WINDOWS\system32


XlS12sU.exe
y5gM8g1.exe
NOLcnCi.exe
2sE43F8.exe

Вот название этих четырёх, они все скрытые. Нажал правой кнопкой, свойства - в описании и дополнительных сведениях тоже всякий бред написан.
Конкретно каждый файл просканировал нодом, он ничего не обнаружил.

Здравствуйте,

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит антивирус с последними обновлениями. Письмо будет передано на рассмотрение вирусному аналитику.

o4oo0cf.exe

Файл в процессе обработки.

С уважением, Лаборатория Касперского

Вот пока прислали ответ.

Скачайте RSIT (http://images.malwareremoval.com/random/RSIT.exe) или отсюда (http://virusnet.info/forum/downloads.php?do=file&id=4&act=down). Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

вот

Выполните скрипт в AVZ
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\y5gM8g1.exe','');
QuarantineFile('C:\WINDOWS\system32\XlS12sU.exe','');
QuarantineFile('C:\WINDOWS\system32\2sE43F8.exe','');
QuarantineFile('C:\WINDOWS\system32\NOLcnCi.exe','');
DeleteFile('C:\WINDOWS\system32\NOLcnCi.exe');
DeleteFile('C:\WINDOWS\system32\2sE43F8.exe');
DeleteFile('C:\WINDOWS\system32\XlS12sU.exe');
DeleteFile('C:\WINDOWS\system32\y5gM8g1.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteREpair(19);
ExecuteREpair(20);
RebootWindows(true);
end. Компьютер перезагрузится.

Выполните скрипт в AVZ
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end. quarantine.zip из папки AVZ отправьте через форму http://support.kaspersky.ru/virlab/helpdesk.html. В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus"(без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Полученный ответ сообщите здесь.

Сделайте новые логи RSIT

Отправил.
Вот новые логи.

Плохого не видно. Что с проблемой?

Проблема то решилась уже после второго сообщения в этой теме.
Просто хотелось узнать про те 4 файла.

Установите Adobe Acrobat 9.3 (www.adobe.com/products/acrobat/) или удалите старый

Проблема то решилась уже после второго сообщения в этой теме. »И не забывайте отмечать тему решённой. :)

Ну ладно, не буду тогда ждать ответа от каспера. Проблема решилась, странные файлы удалил, всё хорошо.

Всем большое спасибо за помощь!