WinAvXX

[r2d2]

Пояился WinAvXX, пытался победить его с помощью nod32, не помогает. Постоянно выбрасывает предложение что-то там скачать от имени Windows Security. Пропал доступ к панели управления, свойствам системы, календарю. В IE стартовой страницей по умолчанию сделался google.
Сделал все, как сказано в правилах.
HiJackThis при работе выдает сообщение об ошибке, но продолжает работать:

Код HTML:

An unexpected error has occured at procedure: modMain_CheckOther1Item()
Error #75 - Path/File access error

Подскажите, что делать дальше?
Заранее спасибо.

[V_Bond]

выполните скрипт...

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 QuarantineFile('C:\WINDOWS\system32\sulimo.dat','');
 QuarantineFile('C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\autorun.exe','');
 QuarantineFile('C:\Documents and Settings\Александр\Главное меню\Программы\Автозагрузка\system.exe','');
 QuarantineFile('C:\WINDOWS\system32\agysteo.exe','');
 QuarantineFile('C:\WINDOWS\system32\WinAvXX.exe','');
 QuarantineFile('C:\WINDOWS\Temp\startdrv.exe','');
 QuarantineFile('c:\windows\system32\printer.exe','');
 DeleteFile('c:\windows\system32\printer.exe');
 DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
 DeleteFile('C:\WINDOWS\system32\WinAvXX.exe');
 DeleteFile('C:\WINDOWS\system32\agysteo.exe');
 DeleteFile('C:\Documents and Settings\Александр\Главное меню\Программы\Автозагрузка\system.exe');
 DeleteFile('C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\autorun.exe');
 BC_ImportAll;
 BC_Activate;
 ExecuteRepair(2);
 ExecuteRepair(3);
 ExecuteRepair(6);
 ExecuteRepair(11);
 ExecuteRepair(16);     
 ExecuteSysClean;
 RebootWindows(true);
end.

пришлите карантин согласно приложения 3 правил..
повторите логи...

[r2d2]

Выполнил скрипт.
Пропали предлжения о загрузке и ошибка HiJackThis, появилась панель управления, свойства системы и календарь. По-прежнему nod32 опознает как зараженный файл hosts, при этом доступа к нему нет, блокнотом не открывается.
Прикладываю свежие логи.

Карантин прислал:
Файл сохранён как 070929_144657_virus_46feabb1ca87e.zip
Размер файла 1490740
MD5 77f5344823eab3915b89034137d730e1

[V_Bond]

c:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\QNQNKXWJ\TTC-4444[1].exe not-a-virus:AdWare.Win32.TTC.a
C:\WINDOWS\system32\jap1\MMEMDT83122.exe not-a-virus:AdWare.Win32.TTC.a
C:\WINDOWS\TTC-4444(2).exe not-a-virus:AdWare.Win32.TTC.a
C:\WINDOWS\TTC-4444.exe not-a-virus:AdWare.Win32.TTC.a
C:\WINDOWS\system32\sulimo.dat -Heuristic.Crypted

D:\Distr\Antivir\AIDS\clrav.com - это у вас утилита от касперского ?
пофиксите ....

Код:

O20 - AppInit_DLLs: C:\WINDOWS\system32\sulimo.dat
O20 - Winlogon Notify: partnershipreg - C:\WINDOWS\

выполните скрипт ...

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 DeleteFile('c:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\QNQNKXWJ\TTC-4444[1].exe');
 DeleteFile('C:\WINDOWS\system32\jap1\MMEMDT83122.exe');
 DeleteFile('C:\WINDOWS\TTC-4444(2).exe');
 DeleteFile('C:\WINDOWS\TTC-4444.exe');
 DeleteFile('C:\WINDOWS\system32\sulimo.dat ');
 BC_ImportDeletedList;
 BC_Activate;
 ExecuteSysClean;
 ClearHostsFile;
 RebootWindows(true);
end.

на какой конкретно файл ругается нод ? можете его прислать ,по правилам ?
повторите логи....

[r2d2]

Да, D:\Distr\Antivir\AIDS\clrav.com - утилита от касперского

Строка

Код HTML:

O20 - AppInit_DLLs: C:\WINDOWS\system32\sulimo.dat

не фиксится, при повторном сканировании остается.

Nod ругался на файл C:\Windows\system32\Drivers\Etc\hosts
Я пытался его переименовать, в результате он исчез, я заменил его пустым файлом, потом вписал строку 127.0.0.1 localhost. Там была еще пара строк, которые я вписывал для упражнений с php, но их восстановить позже проблемы не составит.

Логи обновляю.

[r2d2]

После перезагрузки строка
O20 - AppInit_DLLs: C:\WINDOWS\system32\sulimo.dat
из отчета исчезла.

Прикладываю обновленные логи.

[V_Bond]

ничего зловредного не вижу ...
- отключите восстановление системы ... (что бы зловреды не восстановились)
что из этого используете ?
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя

[r2d2]

Большое спасибо.
Восстановление отключил.
Компьютер - домашний, один пользователь.
Насчет служб - лично я ничего не использую, возможно, что-то требуется для работы установленных программ. Если не затруднит, подскажите, где почитать подробнее, какие службы за что отвечают, чтобы знать, что мне реально нужно, а что - нет.

[V_Bond]

Службы Windows XP

[r2d2]

Еще раз большое спасибо.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 30
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\\documents and settings\\all users\\главное меню\\программы\\автозагрузка\\autorun.exe - Hoax.Win32.Fera.uf (DrWEB: Trojan.Fakealert.357)
  2. c:\\documents and settings\\networkservice\\local settings\\temporary internet files\\content.ie5\\qnqnkxwj\\ttc-4444[1].exe - not-a-virus:AdWare.Win32.TTC.a (DrWEB: archive: Adware.Ttc)
  3. c:\\documents and settings\\александр\\главное меню\\программы\\автозагрузка\\system.exe - Hoax.Win32.Fera.uf (DrWEB: Trojan.Fakealert.357)
  4. c:\\system volume information\\_restore{41558b25-7804-4d15-bcd6-bf366ae198f0}\\rp475\\a0988377.exe - not-a-virus:AdWare.Win32.TTC.a (DrWEB: archive: Adware.Ttc)
  5. c:\\system volume information\\_restore{41558b25-7804-4d15-bcd6-bf366ae198f0}\\rp475\\a0988877.exe - not-a-virus:AdWare.Win32.TTC.a (DrWEB: archive: Adware.Ttc)
  6. c:\\system volume information\\_restore{41558b25-7804-4d15-bcd6-bf366ae198f0}\\rp477\\a0997669.exe - not-a-virus:AdWare.Win32.TTC.a (DrWEB: archive: Adware.Ttc)
  7. c:\\windows\\system32\\jap1\\mmemdt83122.exe - not-a-virus:AdWare.Win32.TTC.a (DrWEB: archive: Adware.Ttc)
  8. c:\\windows\\system32\\printer.exe - Hoax.Win32.Fera.uf (DrWEB: Trojan.Fakealert.357)
  9. c:\\windows\\system32\\sulimo.dat - Trojan.Win32.Qhost.ph (DrWEB: Trojan.Fakealert.357)
  10. c:\\windows\\system32\\winavxx.exe - Hoax.Win32.Fera.uf (DrWEB: Trojan.Fakealert.357)
  11. c:\\windows\\ttc-4444.exe - not-a-virus:AdWare.Win32.TTC.a (DrWEB: archive: Adware.Ttc)
  12. c:\\windows\\ttc-4444(2).exe - not-a-virus:AdWare.Win32.TTC.a (DrWEB: archive: Adware.Ttc)