Подозрение на вирусы

[EgorovEgor]

Здравствуйте! Сегодня перестал загружаться компьютер в обычном режиме. Загрузил в безопасном, все просканировал CureIt, несколько вирусов удалил, но мне кажется, что не все. Помотрите пожалуйста логи.

[V_Bond]

выполните скрипт..

Код:

begin
 BC_QrFile('C:\WINDOWS\Temp\startdrv.exe');
 BC_QrFile('C:\WINDOWS\SYSTEM32\DRIVERS\RUNTIME2.SYS');
 BC_QrFile('C:\WINDOWS\system32\drivers\ip6fw.sys');
 BC_DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
 BC_DeleteFile('C:\WINDOWS\SYSTEM32\DRIVERS\RUNTIME2.SYS');
 BC_DeleteFile('C:\WINDOWS\system32\drivers\ip6fw.sys');
 BC_DeleteSvc('runtime');
 BC_DeleteSvc('runtime2');
 BC_DeleteSvc('Ip6Fw');
 BC_Activate;
 RebootWindows(true);
end.

пришлите карантин согласно приложения 3 правил ...
повторите логи ...

[EgorovEgor]

Скрипт выполнил, карантин закачал.

Файл сохранён как 071001_044659_virus_4700c2139af95.zip
Размер файла 37031
MD5 560cdaeaa84ef03c57c8f813c7c1f775

Сейчас сделаю новые логи.

[EgorovEgor]

Вот новые логи.

[drongo]

1.Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )

Код:

O4 - HKLM\..\Run: [startdrv] C:\WINDOWS\Temp\startdrv.exe

2.AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\Program Files\FChat\Plugins\Demo\Demo.dll','');
 QuarantineFile('C:\Documents and Settings\Настя\Local Settings\Temporary Internet Files\Content.IE5\YQ251DCI\loader[1].exe',''); 
 QuarantineFile('C:\Documents and Settings\Настя\Рабочий стол\updaterr.pif',''); 
 QuarantineFile('C:\WINDOWS\nlv.pif','');
 QuarantineFile('C:\WINDOWS\system32\rt27.exe','');
 DeleteFile('C:\Documents and Settings\Настя\Local Settings\Temporary Internet Files\Content.IE5\YQ251DCI\loader[1].exe');
 DeleteFile('C:\Documents and Settings\Настя\Рабочий стол\updaterr.pif');
 DeleteFile('C:\WINDOWS\nlv.pif');
 DeleteFile('C:\WINDOWS\system32\rt27.exe');
 DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(6);
ExecuteRepair(9);
RebootWindows(true);
end.

Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=12847

3.скачать ccleaner, установить и почистить им основательно.http://soft.softodrom.ru/ap/p5628.shtml Перед установкой убрать галку с установки тулбара.

4. новые логи сделать и указать какие из дырок активно используются :

Код:

Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику

[EgorovEgor]

Профиксил, скрипт выполнил, карантин закачал.

Файл сохранён как 071001_052823_virus_4700cbc773085.zip
Размер файла 62899
MD5 835b806489ba6f99466fa1125a0846a5

Сейчас запущу ccleaner, и сделаю новые логи.
А из этих служб вроде ничего не используется.

[EgorovEgor]

Новые логи.

[V_Bond]

удалите Temporary Internet Files ....
сделайте лог http://virusinfo.info/showthread.php?t=10387