Вирус Win32/Monitor.MIPKOEmployeeMonitor.AA не могу удалить

[horev]

Здравствуйте.

Последние пару дней с моим ПК творятся странные вещи.
каждые пару часов мой антивирус НОД32 выдает след.

24.09.2011 13:39:01 Защита в режиме реального времени файл C:\WINDOWS\TEMP\m4E7DA526\MPK.dll Win32/Monitor.MIPKOEmployeeMonitor.AA приложение очищен удалением - изолирован NT AUTHORITY\SYSTEM Событие произошло в новом файле, созданном следующим приложением: C:\WINDOWS\system32\mswklifg.exe.

24.09.2011 13:39:01 Защита в режиме реального времени файл C:\WINDOWS\TEMP\m4E7DA526\mpk.exe Win32/Monitor.MIPKOEmployeeMonitor.636 приложение очищен удалением - изолирован NT AUTHORITY\SYSTEM Событие произошло в новом файле, созданном следующим приложением: C:\WINDOWS\system32\mswklifg.exe.

Процессор бывает вдруг грузит на 100% svchost.exe - снимаешь его завершением и через 20 секунд он опять появляется, работать не возможно.
также начал вдруг мигать флоппи тоже гдето каждые 2 часа - им я вообще не пользуюсь уже года 3


Помогите пожалуйста избавится от вирусов
У меня последний НОД 32 ничего не находит

А вчера вот что еще попало:
23.09.2011 9:51:14 Модуль сканирования файлов, исполняемых при запуске системы файл C:\WINDOWS\system32\xtgina.dll модифицированный Win32/RDPdoor.AA троянская программа очищен удалением (после следующего перезапуска) - изолирован 3FF91E7E1BC3454\Руслан
23.09.2011 10:02:18 Защита в режиме реального времени файл H:\ntde1ect.com модифицированный Win32/Pacex.Gen вирус удален - изолирован NT AUTHORITY\SYSTEM Событие произошло при попытке доступа к файлу следующим приложением: C:\WINDOWS\system32\mswklifg.exe.
23.09.2011 10:02:22 Защита в режиме реального времени файл H:\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx Win32/Conficker.AA червь очищен удалением - изолирован NT AUTHORITY\SYSTEM Событие произошло при попытке доступа к файлу следующим приложением: C:\WINDOWS\system32\mswklifg.exe.

[Info_bot]

Уважаемый(ая) horev, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[Bratez]

Отключите восстановление системы!
Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\WinSCard.DLL','');
 QuarantineFile('c:\windows\offline web pages\svchost.exe','');
 QuarantineFile('c:\windows\system32\mswklifg.exe','');
 DeleteFile('c:\windows\system32\mswklifg.exe');
 DeleteFile('c:\windows\offline web pages\svchost.exe');
 DeleteFileMask('C:\Documents and Settings\Руслан.3FF91E7E1BC3454\Local Settings\Temp', '*.*',true);
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=109504).
Сделайте новые логи.

[horev]

Вот.

[Bratez]

Выполните скрипт в AVZ в безопасном режиме:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
 QuarantineFile('C:\WINDOWS\system32\drivers\systemntmi.sys','');
 QuarantineFile('c:\windows\offline web pages\svchost.exe','');
 QuarantineFile('c:\windows\system32\msguzvdg.exe','');
 QuarantineFile('C:\Documents and Settings\Руслан.3FF91E7E1BC3454\Start Menu\Programs\Startup\igfxtray.exe','');
 DeleteFile('C:\Documents and Settings\Руслан.3FF91E7E1BC3454\Start Menu\Programs\Startup\igfxtray.exe');
 DeleteFile('c:\windows\system32\msguzvdg.exe');
 DeleteFile('c:\windows\offline web pages\svchost.exe');
 DeleteFile('C:\WINDOWS\system32\drivers\systemntmi.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.
Пришлите новый карантин согласно приложению 3 правил.
Сделайте новые логи.

Необходимо установить SP3 и последующие обновления, иначе лечиться будем до бесконечности.
(Может потребоваться повторная активация Windows).

[horev]

никак не могу сделать логи. постоянно загрузка процесса svchost.exe 100%
карантин отправил.
Скажите это какойто серьезный вирус ?
что он ворует?
почему его так трудно удалить уже 2 скрипта выполнил и ничего лучше не стало
С SP2 работал очень давно ничего подобного не было SP3 у меня нету

[horev]

вот 2 сделал

[polword]

Профиксите в HijackThis

Код:

R3 - URLSearchHook: (no name) - {83821C2B-32A8-4DD7-B6D4-44309A78E668} - C:\Program Files\Mail.Ru\Agent\Mra\dll\newmrasearch.dll (file missing)
R3 - URLSearchHook: (no name) - {CA3EB689-8F09-4026-AA10-B9534C691CE0} - (no file)

- Сделайте лог MBAM

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 2
• Обработано файлов: 6
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\\documents and settings\\руслан.3ff91e7e1bc3454\\start menu\\programs\\startup\\igfxtray.exe - Trojan.Win32.Yakes.div ( DrWEB: Trojan.Carberp.10, BitDefender: Gen:Variant.Kazy.38826, NOD32: Win32/TrojanDownloader.Carberp.W trojan, AVAST4: Win32:MalOb-HN [Cryp] )
  2. c:\\windows\\offline web pages\\svchost.exe - Trojan-Downloader.Win32.Agent.gxuu ( DrWEB: Trojan.DownLoad2.37564, BitDefender: Trojan.Generic.KDV.362704, AVAST4: Win32:Malware-gen )
  3. c:\\windows\\system32\\msguzvdg.exe - Trojan.Win32.AntiAV.ojm ( DrWEB: BackDoor.Termuser.5, BitDefender: Trojan.Generic.6745622, NOD32: Win32/RDPdoor.AG trojan, AVAST4: Win32:RDPdoor-B [Trj] )
  4. c:\\windows\\system32\\mswklifg.exe - HEUR:Trojan.Win32.Generic ( DrWEB: Trojan.Siggen3.2880, BitDefender: Gen:Variant.Kazy.38444, AVAST4: Win32:MalOb-HN [Cryp] )