syitm.exe перестаёт работать интернет, не удаляется.

[Klubber]

Здравствуйте. Недавно появилась такая вот проблема. Каждый раз, как только подключаешься к интернету (У меня билайн, соединение через VPN происходит) автоматом запускаются какие-то приложение и всплывают DOS-овские окна, в которых бегает курсор в хаотическом порядке и больше ничего не происходит. Его можно закрыть, бывает что подряд несколько окон таких выскакивает. И после этого интернет либо вообще не работает, либо работает очень медленно. в корне диска С каждый раз после перезагрузки создаётся файл либо xdx.exe, либо fewxdx.exe. Так же в Documents and Settings в текущем пользователе каждый раз после перезагрузки создаются 3 либо 4 файла с именами new1.exe, bnet.exe, hdcd.exe, hddd.exe. Все эти файлы удаляются, если выгрузить их из процессов, но после перезагрузки они снова появляются, сразу после того как подключаешься к интернету.
По инструкции проверял Doctor web Cure It! в безопасном режиме, полную проверку. нашёл несколько файликов, удалил их, но ничего не изменилось. Прошу помочь решить проблему. На компьютере установлен антивирь Eset Smart Security 4.
Файлы с отчётами прикрепляю. Заранее спасибо.

[polword]

1.Профиксите в HijackThis

Код:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.smaxi.net
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.smaxi.net
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.smaxi.net

2. Выполните скрипт в AVZ

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,'); 
 QuarantineFile('C:\xdx.exe','');
 QuarantineFile('C:\Documents and Settings\Администратор.MICROSOF-11FC05.001\hddd.exe','');
 QuarantineFile('C:\Documents and Settings\Администратор.MICROSOF-11FC05.001\hdcd.exe','');
 QuarantineFile('C:\Documents and Settings\Администратор.MICROSOF-11FC05.001\bnet.exe','');
 QuarantineFile('c:\windows\system32\sdra64.exe','');
 QuarantineFile('c:\windows\system32\e18d6023.exe','');
 QuarantineFile('c:\windows\system32\548881c8.exe','');
 QuarantineFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\vcleaner.exe','');
 QuarantineFile('\\?\globalroot\systemroot\system32\zbOCd00.exe','');
 QuarantineFile('\\?\globalroot\systemroot\system32\phohr1E.exe','');
 QuarantineFile('\\?\globalroot\systemroot\system32\p5Fqbuq.exe','');
 QuarantineFile('\\?\globalroot\systemroot\system32\mtiL5Vi.exe','');
 QuarantineFile('\\?\globalroot\systemroot\system32\j8JwKum.exe','');
 QuarantineFile('\\?\globalroot\systemroot\system32\aywg3dg.exe','');
 QuarantineFile('\\?\globalroot\systemroot\system32\OyK1zjL.exe','');
 QuarantineFile('\\?\globalroot\systemroot\system32\LX8s21y.exe','');
 QuarantineFile('\\?\globalroot\systemroot\system32\96dk55k.exe','');
 QuarantineFile('\\?\globalroot\systemroot\system32\89yJvH0.exe','');
 QuarantineFile('C:\WINDOWS\ghdrive32.exe','');
 QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1413\syitm.exe','');
 QuarantineFile('c:\windows\ghdrive32.exe','');
 TerminateProcessByName('c:\windows\ghdrive32.exe');
 DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1413\syitm.exe');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Tnaww');
 DeleteFile('C:\WINDOWS\ghdrive32.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
 DeleteFile('\\?\globalroot\systemroot\system32\89yJvH0.exe');
 DeleteFile('\\?\globalroot\systemroot\system32\96dk55k.exe');
 DeleteFile('\\?\globalroot\systemroot\system32\LX8s21y.exe');
 DeleteFile('\\?\globalroot\systemroot\system32\OyK1zjL.exe');
 DeleteFile('\\?\globalroot\systemroot\system32\aywg3dg.exe');
 DeleteFile('\\?\globalroot\systemroot\system32\j8JwKum.exe');
 DeleteFile('\\?\globalroot\systemroot\system32\p5Fqbuq.exe');
 DeleteFile('\\?\globalroot\systemroot\system32\phohr1E.exe');
 DeleteFile('\\?\globalroot\systemroot\system32\zbOCd00.exe');
 DeleteFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\vcleaner.exe');
 DeleteFile('c:\windows\system32\548881c8.exe');
 DeleteFile('c:\windows\system32\e18d6023.exe');
 DeleteFile('c:\windows\system32\sdra64.exe');
 DeleteFile('C:\Documents and Settings\Администратор.MICROSOF-11FC05.001\hdcd.exe');
 DeleteFile('C:\Documents and Settings\Администратор.MICROSOF-11FC05.001\hddd.exe');
 DeleteFile('C:\xdx.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman ');
 BC_ImportAll;
 ExecuteSysClean;
 ExecuteRepair(11);
 ExecuteWizard('TSW', 2, 2, true);
 ExecuteWizard('SCU', 2, 2, true);
 BC_Activate;
 RebootWindows(true);
end.

После перезагрузки:
- выполните такой скрипт

Код:

begin
  CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
 end.

- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
- Сделайте лог MBAM

[Klubber]

Сделал всё как Вы описали. Файл карантина прикрепил вверху темы, логи так же приложил к сообщению.

[Klubber]

какие дальше будут рекомендации?

[thyrex]

Удалите в МВАМ только указанные строки

Код:

Заражённые ключи в реестре:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127AD2-394B-70F5-C650-B97867BAA1F7} (Backdoor.Bot) -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127AD2-394B-70F5-C650-B97867BAA1F7} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127AD2-394B-70F5-C650-B97867BAA1F7} (Backdoor.Bot) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43BF8CD1-C5D5-2230-7BB2-98F22C2B7DC6} (Backdoor.Bot) -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43BF8CD1-C5D5-2230-7BB2-98F22C2B7DC6} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43BF8CD1-C5D5-2230-7BB2-98F22C2B7DC6} (Backdoor.Bot) -> No action taken.
HKEY_CLASSES_ROOT\idid (Trojan.Sasfix) -> No action taken.

Заражённые параметры в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_1 (Rootkit.Agent) -> Value: option_1 -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_2 (Rootkit.Agent) -> Value: option_2 -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_3 (Rootkit.Agent) -> Value: option_3 -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\UID (Malware.Trace) -> Value: UID -> No action taken.

Заражённые папки:
c:\program files\easysearch (Adware.SuperSearch) -> No action taken.
c:\program files\mycentria (Adware.MyCentria) -> No action taken.
c:\program files\mycentria\Firefox (Adware.MyCentria) -> No action taken.
c:\program files\mycentria\InfoBar (Adware.MyCentria) -> No action taken.
c:\WINDOWS\system32\lowsec (Stolen.data) -> No action taken.
c:\WINDOWS\system32\twain32 (Backdoor.Bot) -> No action taken.
c:\RECYCLER\r-1-5-21-1482476501-1644491937-682003330-1013 (Worm.AutoRun.Gen) -> No action taken.

Заражённые файлы:
c:\fewxdx.exe (Backdoor.Bot) -> No action taken.
c:\documents and settings\networkservice.nt authority.001\local settings\temporary internet files\Content.IE5\CLMS5YVL\m[1].exe (Backdoor.Bot) -> No action taken.
c:\documents and settings\networkservice.nt authority.001\local settings\temporary internet files\Content.IE5\PQPTIVWF\new1[1].exe (Worm.Palevo.XGen) -> No action taken.
c:\documents and settings\networkservice.nt authority.001\local settings\temporary internet files\Content.IE5\X66U3RAW\m[1].exe (Backdoor.Bot) -> No action taken.
c:\documents and settings\администратор.microsof-11fc05.001\doctorweb\quarantine\m[1].exe (Backdoor.Bot) -> No action taken.
c:\documents and settings\администратор.microsof-11fc05.001\doctorweb\quarantine\new1[1].exe (Worm.Palevo.XGen) -> No action taken.
c:\documents and settings\администратор.microsof-11fc05.001\application data\avdrn.dat (Malware.Trace) -> No action taken.
c:\program files\common files\keylog.txt (Malware.Trace) -> No action taken.
c:\WINDOWS\system32\drivers\str.sys (Rootkit.Agent) -> No action taken.
c:\program files\easysearch\updatehelper.exe (Adware.SuperSearch) -> No action taken.
c:\WINDOWS\system32\lowsec\local.ds (Stolen.data) -> No action taken.
c:\WINDOWS\system32\lowsec\user.ds (Stolen.data) -> No action taken.
c:\WINDOWS\system32\lowsec\user.ds.lll (Stolen.data) -> No action taken.
c:\WINDOWS\system32\twain32\local.ds (Backdoor.Bot) -> No action taken.
c:\WINDOWS\system32\twain32\user.ds (Backdoor.Bot) -> No action taken.

Смените все пароли

Установите все новые обновления для Windows
Установите Internet Explorer 8 (даже если им не пользуетесь)
Обновите JavaRE

[Klubber]

Сделал всё как вы сказали. Лог прикрепляю после очистки.
Не могу устновить IE8. Скачиваю дистрибутив, жму установить, устновщик говорит что необходимо установить какое-то обновление KB932823, пытаюсь его установить, выскакивает ошибка о том, что такое обновление уже установлено и установка прекращается. IE8 не ставится, пишет что не установлены необходимые обновления. У меня стоит пиратская версия Windows XP SP2, ломанная. Подскажите что лучше предпринять. Спасибо.

[thyrex]

У меня стоит пиратская версия Windows XP SP2, ломанная

Значит в реестр сами вносили изменения, чтобы игры запускались. Ибо по логам у Вас SP3
Отсюда и проблемы с установкой

[Klubber]

Да, верно, теперь вспомнил. Когда-то давно устанавливал какой-то малюсенький патчик, который просто вносил изменения в реестр, будто стоит SP3, для запуска игр. И что теперь делать? Обратно никак нельзя внести изменения в реестр, чтобы стал SP2?

[Klubber]

Ответьте пожалуйста

[Bratez]

Установите нормальный SP3 и все будет ОК.
(Может потребоваться повторная активация Windows).

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 43
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\\recycler\\r-1-5-21-1482476501-1644491937-682003330-1013\\vcleaner.exe - Trojan.Win32.Pincav.bexk ( DrWEB: Trojan.Inject.37080, BitDefender: Trojan.Generic.KD.201142, AVAST4: Win32:Inject-AGC [Trj] )