Помогите избавиться от вируса !!!

[alexrub]

mravsc32.exe висит в процессе как системный, при удалении процесса через пару секунд снова появляеться там, тормозит систему и накручивает трафик.
Всякими антивирусами пробовал его удалить (symantec, dr.web, avg, avz) но ни один его не видит, удаляю его руками из папки c:\WINDOWS\system32\dllcache\ а толу нет, он там снова появляеться.
Помогите плиззззззз от него избавиться, зарание благодарен.

[Numb]

Отключите восстановление системы, отключитесь от сети и отключите ав-мониторы (Внимание! У вас два монитора: от AdAware и от Symantec-а - выключите оба на время выполнения скрипта). Программа AVZ - файл - выполнить скрипт - выполните следующий скрипт:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('\??\C:\Program Files\UltraISO\drivers\ISODrive.sys','');
 QuarantineFile('\SystemRoot\System32\Drivers\fsh.SYS','');
 QuarantineFile('C:\Program Files\AllWallpapers\awp.exe','');
 QuarantineFile('C\WINDOWS\system32\TUKERNEL.EXE','');
 QuarantineFile('c:\windows\system32\cba\pds.exe','');
 quarantineFile('c:\windows\system32\dllcache\mravsc32.exe','');
 BC_DeleteFile('c:\windows\system32\dllcache\mravsc32.exe');
 DeleteFile('c:\windows\system32\dllcache\mravsc32.exe');
BC_DeleteSVC('Distributed Allocated Memory Unit');
BC_Importquarantinelist;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Система будет перезагружена. После перезагрузки, загрузите карантин AVZ по ссылке http://virusinfo.info/upload_virus.php?tid=13123 , как написано в прил.3 правил

[alexrub]

Спасибо за скрипт, но после запуска скрипта и перезагрузки, вирус не наблюдается. Подкючаюсь к инету и через несколько минут он сова появляется.
Я выслал карантин.
Помогите еще если сможете.....
Зарание благодарен.

[Numb]

Файл

Код:

C\WINDOWS\system32\TUKERNEL.EXE

Не попал в карантин. Поищите его вручную, как написано здесь - http://virusinfo.info/showthread.php?t=4567 Если найдете - добавьте в карантин и загрузите по ссылке http://virusinfo.info/upload_virus.php?tid=13123 Попутно, сделайте дополнительный лог, про который написано здесь: http://virusinfo.info/showthread.php?t=10387

[alexrub]

Отправил карантин как просили, сдел лог и загрузил....

[Bratez]

Вы не переключили на "Все службы и драйверы", это принципиально важно.

[alexrub]

Выкладываю то что просили.

Я уже пробовал переустановить винду, вируса не было, но прошло буквально 2 дня и он снова появился, не пойму от куда он берется....

[Bratez]

1. Убедитесь, что восстановление системы выключено.
2. Загрузитесь в безопасный режим.
3. Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteFile('C:\WINDOWS\system32\dllcache\mravsc32.exe');
 BC_DeleteFile('C:\WINDOWS\system32\dllcache\mravsc32.exe');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

4. Сделайте свежий комплект логов по правилам (в норм. режиме).

[alexrub]

Спасибо вроде помагло, надеюсь больше не появтся, выслаю логи....

[Bratez]

Судя по логам, враг удален:

Код:

O23 - Service: Distributed Allocated Memory Unit - Unknown owner - C:\WINDOWS\system32\dllcache\mravsc32.exe (file missing)

Осталась пустышка в реестре.
Откройте окно командной строки, наберите:
sc delete "Distributed Allocated Memory Unit"
нажмите Enter.

Перезагрузитесь и сделайте новый лог HijackThis.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 3
• Обработано файлов: 7
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\\windows\\system32\\dllcache\\mravsc32.exe - Backdoor.Win32.VanBot.fy (DrWEB: BackDoor.IRC.Sdbot.1991)