Здраствуйте Уважаемые форумчане.
Появилась такая проблема,при открытие *bat файла,он на доли секунды открывается,так-же как и cmd.exe.
Так - же заметил tcpwamnlib.exe,в c:\windows\system32\tcpwamnlib.exe.
И в подобных папках,i7542,i7768,в разделе c:\windows\system32\,появляются файлы такого вида,d001.exe,d002.exe,и заодно вместе с ними небольшой *bat файл
Такого содержания -

for %%i in (*.exe) do start %%i
for %%i in (*.exe) do %%i
del /f /q %0%

Всё делал по инструкции http://forum.oszone.net/thread-98169.html

Буду очень признателен за помощь.

ваш провайдер ?

80.80.111.244
address: Digital Telephone Lines
address: 215/3, Stachky av.,
address: 344091 Rostov-on-Don
address: Russia
address: Digital Telephone Lines
address: 215/3, Stachky av.,
address: 344091 Rostov-on-Don
address: Russia

hamachi вы устанавливали ?

• HiJackThis. Нужно пофиксить эти строки в HiJackThis. Выставив галочки напротив этих пунктов и нажмите кнопку Fix Checked. Как пофиксить в HijackThis (http://virusnet.info/forum/showthread.php?t=9)

R3 - URLSearchHook: (no name) - {CA3EB689-8F09-4026-AA10-B9534C691CE0} - (no file)
O3 - Toolbar: Яндекс.Бар - {91397D20-1446-11D4-8AF4-0040CA1127B6} - (no file)
O3 - Toolbar: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O17 - HKLM\System\CCS\Services\Tcpip\..\{560B60BA-A995-42CB-A6C7-1866F163F5AB}: NameServer = 8.8.8.8,8.8.4.4
O17 - HKLM\System\CCS\Services\Tcpip\..\{9EDBD2E8-79DB-436C-8AD9-A856DD3BCE14}: NameServer = 8.8.8.8,8.8.4.4
O17 - HKLM\System\CCS\Services\Tcpip\..\{CA9D6083-AFD3-4B2A-A509-0C24E279AA01}: NameServer = 8.8.8.8,8.8.4.4






• Скрипт AVZ.
Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
QuarantineFile('C:\DOCUME~1\Semen\LOCALS~1\Temp\ALSysIO.sys','');
QuarantineFile('C:\DOCUME~1\Semen\LOCALS~1\Temp\Hgd.exe','');
QuarantineFile('C:\WINDOWS\Hhysaa.exe','');
QuarantineFile('XeYEgewf.sys','');
DeleteFile('XeYEgewf.sys');
DeleteFile('C:\WINDOWS\Hhysaa.exe');
DeleteFile('C:\DOCUME~1\Semen\LOCALS~1\Temp\ALSysIO.sys');
DeleteFile('C:\DOCUME~1\Semen\LOCALS~1\Temp\Hgd.exe');
DeleteService('XeYEgewf');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.


После всех процедур выполните скрипт

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
В результате выполнения скрипта будет сформирован карантин quarantine.zip. Полученный архив отправьте через форму (http://www.oszone.net/virusnet/) или на quarantine<at>safezone.cc (at=@)с указанной ссылкой на тему и вашим ником(именем на форуме). в названии темы укажите - "Проверка карантина". В теле сообщения укажите адрес своей темы и ник форуме. Результаты ответа, сообщите здесь, в теме.



•Скачайте ComboFix (http://subs.geekstogo.com/ComboFix.exe) или здесь (http://download.bleepingcomputer.com/sUBs/ComboFix.exe) или здесь (http://www.forospyware.com/sUBs/ComboFix.exe) и сохраните на рабочий стол.
1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение (http://www.bleepingcomputer.com/forums/topic114351.html). Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Как использовать ComboFix (http://virusnet.info/forum/showthread.php?t=2773)
Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe.

Да провайдер мой,хамачи тоже Я устанавливал.
quarantine.zip отправил с пометкой на эту тему.
Теперь запускаются *bat файлы,но почему изчез Интернет,после использования ComboFix.
Пробывал перезагрузиться,его нету.

Add -
Сервис Рабочая Станция,не запускается,а Веб-клиент,в состояние "Stopping".

изчез Интернет »

пропал после комбофикса или после фикса HiJackThis ?

какой вид подключения у вас ? Подключается инет но нет возможности просматривать страницы ? Или невозможно подключиться ?

Пропал после комбофикса.Прямой кабель к компьютеру,без роутера,или маршрутизатора.
Он подключается,но не просматривать страницы,или использовать другими приложениями,нельзя.

Попробуйте откатить на предыдущую точку в системе восстанвления. Если она у вас не отключена.

P.S.Что за сборка Windows у вас ? Первый раз такую вижу .

• Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
временно выключите антивирус, firewall и другое защитное программное обеспечение (http://www.bleepingcomputer.com/forums/topic114351.html).

quit::
DeQuarantine::
C:\Qoobox\Quarantine\c:\windows\system32\odbcad32.exe
Reboot::

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.


Когда сохранится новый отчёт ComboFix, скопируйте (Ctrl+A, Ctrl+C) текст из C:\ComboFix.txt и вставьте (Ctrl+V) в следующее сообщение если текст не уместится в одном сообщении, продолжите его в следующем или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.

Вставьте в привод диск с дистрибутивом Windows
в меню --Пуск-- Выполнить -- введите sfc /scannow

Windows Xp,Sp 3.
К сожалению очень давно устанавливал данную систему,и не имею её дистрибута.

После лечения вам нужно будет поменять ВСЕ ваши пароли !



• Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
временно выключите антивирус, firewall и другое защитное программное обеспечение (http://www.bleepingcomputer.com/forums/topic114351.html).


DeQuarantine::
C:\Qoobox\Quarantine\c:\windows\system32\odbcad32.exe.vir
C:\Qoobox\Quarantine\c:\windows\system32\comct332.ocx.vir
C:\Qoobox\Quarantine\c:\windows\system32\Config.cfg.vir
quit::




• Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
временно выключите антивирус, firewall и другое защитное программное обеспечение (http://www.bleepingcomputer.com/forums/topic114351.html).

KillAll::
NetSvc::
SSHNASnetsvcs_0x0
netsvcs_0x1
netsvcs_0x2
netsvcs_0x3
netsvcs_0x4
netsvcs_0x5

File::

Driver::

Folder::

Registry::

FileLook::

DirLook::
c:\windows\system32\i8603
c:\windows\system32\i2715
c:\windows\system32\i9225
c:\windows\system32\i2980
c:\windows\system32\NtmsData
Reboot::


После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.



Когда сохранится новый отчёт ComboFix, скопируйте (Ctrl+A, Ctrl+C) текст из C:\ComboFix.txt и вставьте (Ctrl+V) в следующее сообщение если текст не уместится в одном сообщении, продолжите его в следующем или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.


• Скачайте Malwarebytes Anti-Malware (http://www.besttechie.net/mbam/mbam-setup.exe), установите, обновите базы, выберите Perform Full Scan, нажмите Scan, после сканирования - Ok - Откройте лог и скопируйте в сообщение.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM (http://data.mbamupdates.com/tools/mbam-rules.exe).

И сделайте этот лог ->http://safezone.cc/forum/showthread.php?t=15334