Нужна помощь

[ig473]

Добрый день.
Без Вашей помощи не разобраться.
Был обычный рабочи день, т.е. комп. работал с оф. программами, периодически просматривал сайты (по работе ). И вдруг антивирус Avast 4.7 Home один за одним начал вылавливать вирусы (к сожелению не обратил внимания на их название, я их автоматом удалял), потом Аваст просканировал комп до запуска системы (ОС Win XP Pr, сетка из 4-х комп., выход в интернет через ADSL) и удалил еще два вируса. Но после этого, при запуске системы Аваст находит файл (C\WINDOWS\SYSTEM32\Deflib.sys) и система зависает. Только одна из нескольких попыток запустит комп успешная, периодически выскакивает синий экран (... damage to you computer. BAD_POOL_CALLER).
Попытка удалить файл(по адресу который дает Аваст) руками ( в "Безопасном режиме") - не успешна. Вирус опять появляется.
Логи прилагаю, если нужен фото полной надписи на синем экране, то тоже могу приложить.
Спасибо.

[ig473]

Извините, вот логи

[PavelA]

Выполнить скрипт:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\Program Files\Orbitdownloader\orbitcth.dll','');
 QuarantineFile('C:\WINDOWS\system32\DRIVERS\tcpip.sys','');
 QuarantineFile('C:\WINDOWS\system32\ntoskrnl.exe','');
 QuarantineFile('c:\windows\system32\winlogon.exe','');
 QuarantineFile('c:\windows\temp\winlogon.exe','');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.

Загрузить карантин по ссылке.

Подготовить диск с дистрибутивом ХР.

C:\WINDOWS\system32\linkdel.cmd - этот файлик мне кажется уже проверяли. если нет, то добавить его в карантин.

[drongo]

а почему не по правилам ? нужно обновить AVZ .
аваст вместе со всеми прогами кроме браузера отключить перед сканированием.

[ig473]

Прошу прощения.
AVZ только сегодня загрузил (вроде должен быть свежим, но в любом случае сейчас обновлю)
По поводу откл. аваст, то извиняюсь, наверное после перезагрузки при выполнении второго скрипта забыл выкл.
Мне повторить логи или выполнить, то что посоветовал PavelA?

[drongo]

ig473, выполнить, что сказал Павел.
читать внимательней правила.ещё не раз придётся делать логи, поверь

[ig473]

Отправил, только опять слегка напортачил.
Файлик вложил не в карантин, а отправил отдельным архивом.

[PavelA]

Лучше переделай по Правилам. Он же не только к нам идет, но и в антивирусные компании.

[ig473]

Переделал. Добавил файл в архив (дам где карантин) с паролем "virus".

[drongo]

Переделал. Добавил файл в архив (дам где карантин) с паролем "virus".

А почему нельзя сделать как написано, не понимаю ;( там автоматом нужный пароль ставиться.

[PavelA]

Вот так номер: C:\WINDOWS\system32\linkdel.cmd оказался заразой !!
Будем удалять.
Выполнить скрипт:

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 DeleteFile('C:\WINDOWS\system32\linkdel.cmd');
 ExecuteSysClean;
 RebootWindows(true);
end.

Сейчас посмотрю все остальное.

На будущее: на карантин AVZ автоматом ставит пароль. Самодеятельности тут не надо.

[ig473]

Сейчас буду выполнять.

ПС То, что AVZ автоматом ставит пароль понятно, а вот как в карантин надо было правильно добавить данный файл?

[drongo]

ig473, Приложение номер 2 правил прочитай

[PavelA]

tcpip.sys - чистый
C:\WINDOWS\system32\ntoskrnl.exe - чистый
c:\windows\system32\winlogon.exe - чистый

[ig473]

При каждой перезагрузке аваст пишет " C\WINDOWS\SYSTEM32\Deflib.sys содержит образец Win32:Agent-KDS" и если я в течении двух секунд успел нажать "в хранилище", то дальше все оК, а если нет, то система виснет (если нажать "удалить", система тоже виснет)

[Bratez]

tcpip.sys - чистый
C:\WINDOWS\system32\ntoskrnl.exe - чистый
c:\windows\system32\winlogon.exe - чистый

Зато c:\windows\temp\winlogon.exe - Trojan-Proxy.Win32.Small.gk.
Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteFile('C:\WINDOWS\SYSTEM32\Deflib.sys');
 DeleteFile('C:\WINDOWS\TEMP\winlogon.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

и сделайте новые логи.

[PavelA]

Зато c:\windows\temp\winlogon.exe - Trojan-Proxy.Win32.Small.gk.

Ну, не могу я его проверять. У меня Симантек его влет убьет, а названия приличного не скажет.
Меня больше обрадовало, что системные файлы чистые.

[ig473]

Высылаю логи ...

[PavelA]

Живуч гад
Повторим еще разок.

Код:

begin
 BC_DeleteFile('linkdel.cmd');
BC_Activate;
RebootWindows(true);
end.

Есть правда смутное ощущение, что что-то мы не видим.
Сделай лог в Safe Mode из http://virusinfo.info/showthread.php?t=10387

[Bratez]

Теперь вроде все чисто.
Пофиксите в HijackThis:

Код:

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,userinit.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

Каково самочувствие пациента?