Посмотрите, пожалуйста, логи.

[Суббота]

Добрый день.
В процессе работы компьютера регулярно наблюдались зависания системы и разрывы соединения с интернетом. Было произведено сканирование CureIt'ом, результат - 33 трояна было удалено. Сейчас вроде все ровно.
Пожалуйста, посмотрите логи на предмет оставшихся хвостов.

[Nikkollo]

Добрый день.
Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\Program Files\Get-Styles 2.0\ie\tdataprotocol.dll','');
BC_ImportAll;
ExecuteWizard('TSW', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

После перезагрузки выполните скрипт в AVZ:

Код:

 begin
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
 end.

Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы "Прислать запрошенный карантин".

Сделайте лог gmer (не забыв поставить галочку на диск C и нажав Scan):
http://virusinfo.info/showthread.php?t=40118
и приложите его в теме.

[Суббота]

GMER подвешивает систему в момент сохранения лога.
Карантин закачал
Файл сохранён как 100123_163203_quarantine_4b5afa53d6c32.zip
Размер файла 242242
MD5 67f0e2d3f3b0e2142a43e9b105cbe4c5

[Nikkollo]

Выполните скрипт в AVZ:

Код:

Function RegKeyResetSecurityEx(ARoot, AName : string) : boolean;
var
i : integer;
KeyList : TStringList;
KeyName : string;
begin
RegKeyResetSecurity(ARoot, AName);
KeyList := TStringList.Create;
RegKeyEnumKey(ARoot, AName, KeyList);
for i := 0 to KeyList.Count-1 do
 begin
 KeyName := AName+'\'+KeyList[i];
 RegKeyResetSecurity(ARoot, KeyName);
 RegKeyResetSecurityEx(ARoot, KeyName);
 end;
KeyList.Free;
end;
Function BC_ServiceKill(AServiceName : string; AIsSvcHosted : boolean = true) : byte;
var
 i : integer;
 KeyList : TStringList;
 KeyName : string;
begin
 Result := 0;
 if StopService(AServiceName) then Result := Result or 1;
 if DeleteService(AServiceName,  not(AIsSvcHosted)) then Result := Result or 2;
 KeyList := TStringList.Create;
 RegKeyEnumKey('HKLM','SYSTEM', KeyList);
 for i := 0 to KeyList.Count-1 do
  if pos('controlset', LowerCase(KeyList[i])) > 0 then begin
   KeyName := 'SYSTEM\'+KeyList[i]+'\Services\'+AServiceName;
   if RegKeyExistsEx('HKLM', KeyName) then begin
    Result := Result or 4;
    RegKeyResetSecurityEx('HKLM', KeyName);
    RegKeyDel('HKLM', KeyName);
    if RegKeyExistsEx('HKLM', KeyName) then
     Result := Result or 8;
   end;
  end;
 if AIsSvcHosted then
  BC_DeleteSvcReg(AServiceName)
 else
  BC_DeleteSvc(AServiceName);
 KeyList.Free;
end;
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 AddToLog(inttostr(BC_ServiceKill('bcqhey')) );
 SaveLog(GetAVZDirectory+'avz_log.txt');
 BC_Activate;
 RebootWindows(true);
end.

Компьютер перезагрузится.

Повторите лог virusinfo_syscheck.zip и приложите в теме.

Попробуйте еще раз сделать лог gmer.

[Суббота]

Скрипт не выполняется. Сразу после запуска вылетает ошибка.

[Шапельский Александр]

Сделайте так, закройте/выгрузите все программы кроме AVZ .
Отключите:
- ПК от интернета/локалки;
- антивирус и файрвол;
- восстановление системы;
- выполните скрипт

[Суббота]

Так все получилось.

[Шапельский Александр]

Отключите:
- ПК от интернета/локалки;
- антивирус и файрвол;
- восстановление системы;
- выполните скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteService('vtfwjtcq');
 QuarantineFile('F:\autorun.inf','');
 QuarantineFile('J:\autorun.inf','');
 DeleteFile('J:\autorun.inf');
 DeleteFile('F:\autorun.inf');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Затем сделайте лог Gmer
После выполнить:
- включите антивирус и файрволл
- подключите ПК к интернету/локалке
- закачайте карантин по ссылке Прислать запрошенный карантин в шапке Вашей темы (Приложение 3 правил).

Лог Gmer прикрепите к новому сообщению

[Суббота]

Карантин залил.
Файл сохранён как 100124_142536_virus_4b5c2e308a958.zip
Размер файла 61650
MD5 ca4bb5b6937efa545d169eb9a5ea8ab5
Лог GMER прилагаю.

[Шапельский Александр]

Сохраните текст ниже как cleanup.bat в ту же папку, где находится i4xd0qd6.exe (gmer)

Код:

i4xd0qd6.exe -del service  vtfwjtcq     
i4xd0qd6.exe -del file "C:\WINDOWS\system32\izflii.dll"
i4xd0qd6.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\vtfwjtcq"
i4xd0qd6.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\vtfwjtcq"
i4xd0qd6.exe -reboot

И запустите cleanup.bat Компьютер перезагрузится. Сделать новый лог gmer

[Суббота]

После запуска cleanup.bat выскакивает сообщение "не найден указанный модуль"
Запустился с работающим gmer-ом. Сейчас лог сделаю.

[Суббота]

Новый лог gmer

[Шапельский Александр]

В логе чисто, что с проблемой?

[Суббота]

Спасибо, вроде как все ровно. Если возможно, не закрывайте, пожалуйста, тему денек-другой.

[Шапельский Александр]

Хорошо. Понаблюдайте за системой, если будут проблемы-- сделайте комплект логов.

[Суббота]

Добрый день.
После лечения системы восстановилась нормальная работа системы и сети. НО...
Не могу зайти на сайт Майкрософта, соответственно не могу загрузить обновления винды, не открывается Вконтакте и еще некоторые сайты. Свежеустановленный NIS 2010 ругается на mmc.exe, предлагает его удалить, ссылаясь на его подозрительное поведение. Посмотрите, пожалуйста, новые логи.

[Шапельский Александр]

Выполните скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
Executerepair(6);
Executerepair(8);
Executerepair(13); 
ExecuteWizard('TSW', 2, 2, true);
RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policie s\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
RebootWindows(true);
end.

Сделайте новый лог virusinfo_syscheck.zip и лог MBAM

[Суббота]

Скрипт выполнил.
Новые логи

[Шапельский Александр]

В логах чисто, что с проблемой?

[Суббота]

Изначальная проблема решена полностью. Вот только такое ощущение, что во время лечения (перед началом я снес Авиру, после - поставил НИС) я что-то хапнул. В целом - все стабильно, но рассылка спама - раз, невозможность работать с IE - два (он заходит не туда, куда его просят, а на какие-то левые поисковики).