Добрый день! Мне админы нашей сети сказали, что с моего адреса идет спам-рассылки... поставил оутпост, он показывает, что очень часто процесс winlogon лезет на различные адреса в интернет на 80 порт... комп притормаживает заметно... файлики прилагаю, помогите?

Скачайте полимофный АВЗ http://rapidshare.com/files/116949749/pingpong.pif.html и дальше работайте с ним!!!

Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.

- Выполните скрипт (http://virusinfo.info/showthread.php?t=7239)

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
StopService('xohmnlkf');
StopService('xjzruzjj');
StopService('synsend');
StopService('ethmaswb');
QuarantineFile('C:\WINDOWS\system32\Drivers\xjzruz jj.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\synsen ddrv.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\ethmas wb.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\eleuvb wzlpy.sys','');
QuarantineFile('C:\WINDOWS\services.exe','');
QuarantineFile('C:\System Volume Information\_restore{301CF3BA-8DB3-496F-A355-1ECEB5964566}\RP622\A0107581.sys','');
DeleteService('xohmnlkf');
DeleteService('xjzruzjj');
DeleteService('synsend');
DeleteService('ethmaswb');
DeleteFile('C:\WINDOWS\system32\Drivers\xjzruzjj.s ys');
DeleteFile('C:\WINDOWS\system32\drivers\synsenddrv .sys');
DeleteFile('C:\WINDOWS\system32\drivers\ethmaswb.s ys');
DeleteFile('C:\WINDOWS\system32\drivers\eleuvbwzlp y.sys');
DeleteFile('C:\WINDOWS\services.exe');
DeleteFile('C:\System Volume Information\_restore{301CF3BA-8DB3-496F-A355-1ECEB5964566}\RP622\A0107581.sys');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('xohmnlkf');
BC_DeleteSvc('xjzruzjj');
BC_DeleteSvc('synsend');
BC_DeleteSvc('ethmaswb');
BC_Activate;
RebootWindows(true);
end.


После перезагрузки:
- Очистите (http://virusinfo.info/showthread.php?t=10025)темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.

карантин отослал, результаты проверок прицепил...
после всех действий система стала долго грузиться, в списке процессов висит svchost, который грузит процессор на 100%, иконка работы сети в трее исчезла, в списке сетевых подключений пусто... но сеть работает

1. Выполните скрипт в AVZ: (http://virusinfo.info/showthread.php?t=7239)


begin
SetAVZPMStatus(true);
RebootWindows(true);
end.После выполнения скрипта компьютер перезагрузится!

2. Повторите логи.

свежие логи... после выполнения "Скрипт лечения/карантина и сбора информации для раздела "Помогите!" virusinfo.info" и последующей перезагрузки опять появился svchost, который намертво грузил процессор... пришлось убить...

и еще: в списке процессов периодически появляется непонятный процесс VRT8.tmp

уже меньше...

1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". (http://virusinfo.info/showthread.php?t=7239)

begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\System32\Drivers\byfnkc qj.sys','');
DeleteService('zmeqpvvi');
QuarantineFile('C:\WINDOWS\System32\Drivers\zmeqpv vi.sys','');
QuarantineFile('C:\WINDOWS\system32\dllhost.exe',' ');
DeleteService('PolicyAgent');
DeleteService('PlugPlay');
DeleteService('NtmsSvc');
DeleteService('NtLmSsp');
DeleteService('Nla');
DeleteService('NetSvc');
DeleteService('Netman');
DeleteService('Netlogon');
DeleteService('NetDDEdsdm');
DeleteService('NetDDE');
DeleteService('napagent');
DeleteService('MSIServer');
DeleteService('mnmsrvc');
DeleteService('Messenger');
DeleteService('MDM');
DeleteService('lanmanworkstation');
DeleteService('lanmanserver');
DeleteService('ImapiService');
DeleteService('idsvc');
DeleteService('HTTPFilter');
DeleteService('hkmsvc');
DeleteService('HidServ');
DeleteService('helpsvc');
QuarantineFile('C:\WINDOWS\TEMP\VRT1.tmp','');
QuarantineFile('C:\WINDOWS\system32\ctfmon.exe','' );
QuarantineFile('C:\Documents and Settings\apopova\dcnvkwj.exe','');
QuarantineFile('c:\windows\system32\svchost.exe',' ');
DeleteFile('C:\WINDOWS\TEMP\VRT1.tmp');
DeleteFile('C:\Documents and Settings\apopova\dcnvkwj.exe');
DeleteFile('C:\WINDOWS\System32\Drivers\zmeqpvvi.s ys');
DeleteFile('C:\WINDOWS\System32\Drivers\byfnkcqj.s ys');
BC_ImportAll;
BC_DeleteSvc('byfnkcqj');
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно приложения 3 правил (http://virusinfo.info/showthread.php?t=1235).
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=39112

2.Пофиксить в HijackThis следующие строчки, если останутся ( http://virusinfo.info/showthread.php?t=4491 )

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\Docum ents and Settings\apopova\dcnvkwj.exe \s

Потом повторите логи, посмотрим, что останется

карантин выслал, строки пофиксил, свежие логи прилагаю

остатки:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteService('SENS');
DeleteService('CiSvc');
DeleteService('Browser');
DeleteService('BITS');
BC_ImportDeletedList;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
по некоторым файлам подождем ответа вирлаба

Добавлено через 15 минут

файлы на подлинные ну совсем не походят...
есть дистрибутив windows ?

тогда можно пуск - выполнить - cmd - sfc /scannow

само сверит и вернет подлинные файлы...

щас попытался скачать и установить квип... скачивается, устанавливается, но при запуске говорит "Sorry, qip.exe file is corrupted"... видимо какая-то бяка осталась... на всяк. случай прикладываю свежие логи

C:\Documents and Settings\apopova\reader_s.exe
тоже по правилам пришлите...

А тот совет про sfc /scannow все ещё актуален

C:\Documents and Settings\apopova\reader_s.exe
нету такого файла там :(


sfc /scannow - требует диск с SP3... пока нету такого у меня... буду искать




Щас сижу в винде, количество процессов svchost.exe становится все больше и больше... хотя запущен только эксплорер, командная строка и проводник

раз нет..

begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('C:\Documents and Settings\apopova\reader_s.exe');
BC_ImportDeletedList;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
а диск с Windows нужен

винда стоит лицензионная, ставилась еще с дистрибутива SP1... а тот дистрибутив щас её не устраивает... буду искать дистрибутив SP3

sfc /scannow сделал... что теперь?

опять набралось...

begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteService('ethsgljs');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\ndisio .sys','');
DeleteService('protect');
DeleteService('wrijlqcw');
QuarantineFile('C:\WINDOWS\system32\Drivers\wrijlq cw.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\protec t.sys','');
QuarantineFile('\SystemRoot\system32\drivers\ethsg ljs.sys','');
QuarantineFile('C:\WINDOWS\system32\i386kd.exe','' );
QuarantineFile('c:\windows\services.exe','');
DeleteFile('c:\windows\services.exe');
DeleteFile('C:\WINDOWS\system32\Drivers\ethsgljs.s ys');
DeleteFile('C:\WINDOWS\system32\Drivers\protect.sy s');
DeleteFile('C:\WINDOWS\system32\Drivers\wrijlqcw.s ys');
DeleteFile('C:\WINDOWS\system32\DRIVERS\ndisio.sys ');
BC_ImportAll;
BC_DeleteSvc('Passthru');
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
карантин - прислать.
потом - у Вас файловый вирус Virus.Win32.Virut.ce. Методами АВЗ с файловыми вирусами бороться бесполезно, касперский его знает, можно вылечить им или АВПТулзой (брать http://devbuilds.kaspersky-labs.com/devbuilds/AVPTool/)

После лечения файлового вируса повторите логи

Статистика проведенного лечения:

Получено карантинов: 2
Обработано файлов: 34
В ходе лечения обнаружены вредоносные программы:

c:\documents and settings\apopova\dcnvkwj.exe - Virus.Win32.Virut.ce
c:\windows\services.exe - Virus.Win32.Virut.ce
c:\windows\system32\ctfmon.exe - Virus.Win32.Virut.ce
c:\windows\system32\dllhost.exe - Backdoor.Win32.Frauder.anx
c:\windows\system32\drivers\ethmaswb.sys - Backdoor.Win32.IEbooot.dc
c:\windows\system32\svchost.exe - Virus.Win32.Virut.ce