Троян

[YaSam]

Всё началось с того, что я поймал трояна, и avast ругался на файл Deflib.sys, и avast говорил что с моего компьютера идёт отсылка большого количества идентичных электронных писем (на разные адресса), потом каким-то образом у меня перестал загружаться автоматически "avast" и тут компьтер заполонили вирусы, я попытался полечить его опячть-таки авастом, но компьтер загружал винду и как токо доходил до момента загрузки рабочего стола он перезагружался, я загрузил винду последней нормальной загрузки, и вот теперь прошу у вас помощи... помогите пожалуйста... остальные программы которые указаны у вас в правилах тоже непомогли

[V_Bond]

выполните скрипт...

Код:

begin
 BC_QrFile('C:\WINDOWS\Temp\startdrv.exe');
 BC_QrFile('C:\WINDOWS\SYSTEM32\DRIVERS\RUNTIME2.SYS');
 BC_QrFile('C:\WINDOWS\system32\drivers\ip6fw.sys');
 BC_DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
 BC_DeleteFile('C:\WINDOWS\SYSTEM32\DRIVERS\RUNTIME2.SYS');
 BC_DeleteFile('C:\WINDOWS\system32\drivers\ip6fw.sys');
 BC_DeleteSvc('runtime');
 BC_DeleteSvc('runtime2');
 BC_DeleteSvc('Ip6Fw');
 BC_Activate;
 RebootWindows(true);
end.

после перезагрузки еще один...

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
QuarantineFile('ovrscn.dll','');
 QuarantineFile('C:\WINDOWS\kernel2.exe','');
 QuarantineFile('C:\WINDOWS\system32\ovrscn.dll','');
 QuarantineFile('c:\docume~1\758d~1\locals~1\temp\winlogon.exe','');
 QuarantineFile('c:\windows\ntdump.exe','');
 DeleteFile('c:\docume~1\758d~1\locals~1\temp\winlogon.exe');
 DeleteFile('C:\WINDOWS\kernel2.exe');
 DeleteFile('ovrscn.dll');
 DeleteFile('C:\WINDOWS\system32\qy.sys');
 DeleteFile('C:\WINDOWS\system32\ovrscn.dll');
 DeleteFile('C:\WINDOWS\system32\ovrscn.sys');
 DeleteFile('C:\WINDOWS\system32\ovwscn.sys');  
 DeleteFile('C:\WINDOWS\system32\qz.dll');
 DeleteFile('C:\WINDOWS\system32\qz.sys');
 DeleteFile('C:\WINDOWS\kernel2.exe');
 DeleteFile('C:\WINDOWS\kernel%32.exe');
 DeleteFile('C:\WINDOWS\kernel .exe');
 DeleteFile('c:\windows\system32\klogini.dll');
 DeleteFile('c:\windows\system32\fltr.a3d');
 DeleteFile('c:\windows\system32\i.a3d'); 
 DeleteFile('c:\windows\system32\p2.ini');
 DeleteFile('c:\windows\system32\redir.a3d');
 DeleteFile('c:\windows\system32\tnfl.a3d');
 DelWinlogonNotifyByFileName('ovrscn.dll ');    
 BC_ImportDeletedList;
 BC_Activate;
 ExecuteSysClean;
 RebootWindows(true);
end.

пофиксите...

Код:

O4 - HKLM\..\Run: [C:\WINDOWS\kernel%32.exe] C:\WINDOWS\kernel%32.exe
O4 - HKCU\..\Run: [Firewall auto setup] C:\DOCUME~1\758D~1\LOCALS~1\Temp\winlogon.exe
O20 - Winlogon Notify: ovrscn - C:\WINDOWS\SYSTEM32\ovrscn.dll
O22 - SharedTaskScheduler: Hex port setting - {8D5849C4-93F3-429D-FF34-260A2068897C} - (no file)

пришлите карантин согласно приложения 3 правил....
повторите логи..

[YaSam]

Спасибо, частично помогло больше нет рассылки (аваст не ргуается)
пофиксить первую и вторую строчку не удалось так как таких не нашёл
И по-прежнему Troyan Remover по-прежнему ругается на Deflib.sys
ещё при загрузке я не сказал почему-то загружается папка Мои документы с проводником каждый раз.
вот высылаю файлы вместе с карантином

Добавлено через 7 минут

почему-то не прикрепляются файлы((

[V_Bond]

удалите предыдущие ...

Добавлено через 3 минуты

выполните скрипт ...

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 QuarantineFile('C:\WINDOWS\system32\DefLib.sys','');
 DeleteFile('C:\WINDOWS\system32\DefLib.sys');
  BC_ImportDeletedList;
 BC_Activate;
 ExecuteSysClean;
 RebootWindows(true);
end.

[YaSam]

после выполнения скрипта и перезагрузки сканер Троянремувера снова выдал Deflib.sys

[V_Bond]

удалите временные интернет файлы...
очистите карантин DrWeb
пофиксите ...

Код:

O4 - HKLM\..\Run: [startdrv] C:\WINDOWS\Temp\startdrv.exe

выполните скрипт...

Код:

begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\ntdump.exe','');
QuarantineFile('C:\WINDOWS\n.pif','');
QuarantineFile('C:\WINDOWS\system32\drivers\protect.sys','');
QuarantineFile('C:\WINDOWS\system32\update177.exe ','');
QuarantineFile('c:\program files\activationmanager\activationmanager.dll','');
DeleteFile('C:\WINDOWS\system32\drivers\protect.sys');
DeleteFile('C:\WINDOWS\system32\update177.exe ');
DeleteFile('c:\program files\activationmanager\activationmanager.dll');
BC_DeleteSvc('protect');
BC_ImportAll;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.

пришлите карантин согласно приложения 3 правил...
повторите логи ...

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 14
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\\documents and settings\\localservice\\local settings\\temporary internet files\\content.ie5\\shdrzhu7\\abbaa[1].exe - Trojan.Win32.Pakes.dm (DrWEB: BackDoor.Bulknet.77)
  2. c:\\documents and settings\\огго\\local settings\\temporary internet files\\content.ie5\\gvtf66fp\\603-a[1].exe - Trojan.Win32.Agent.asu (DrWEB: Trojan.Packed.147)
  3. c:\\documents and settings\\огго\\local settings\\temporary internet files\\content.ie5\\0jkz05o7\\loader[1].exe - Trojan-Downloader.Win32.Tiny.ly (DrWEB: Trojan.DownLoader.34714)
  4. c:\\docume~1\\758d~1\\locals~1\\temp\\winlogon.exe - Trojan-Proxy.Win32.Small.gp (DrWEB: Trojan.Packed.147)
  5. c:\\program files\\activationmanager\\activationmanager.dll - not-a-virus:AdWare.Win32.BHO.de (DrWEB: Adware.AdsTech)
  6. c:\\windows\\n.pif - Trojan-Downloader.Win32.Tiny.ly (DrWEB: Trojan.DownLoader.34714)
  7. c:\\windows\\ntdump.exe - Trojan-Spy.Win32.Webmoner.eo (DrWEB: Trojan.PWS.Webmonier)
  8. c:\\windows\\system32\\update177.exe - Trojan.Win32.Pakes.dm (DrWEB: BackDoor.Bulknet.77)