Окупировало семейство троянов

[alexand11]

Началось с запуска файла win32.exe.(при необходимости файл могу прислать) Антивирус не среагировал и на компьютере появилось семейство. Симптомы следующие:
Система тормозит, антивирус подряд ловит семь вирусов с однотипными именами, диспетчер задач заблокирован, в startup прописаны win32.exe и пара вирусов из семейства (сразу удалил записи).
Отправил win32.exe в лабораторию Dr.Web, ответили следующее:
Ваш запрос был проанализирован. Запись о новом вирусе добавлена в базу. Вирус: Trojan.DownLoader.19256.

Лечил по описанной в разделе "Помогите!" технологии.

Вопрос в следующем, все ли вычистил? Прошу помощи.

[V_Bond]

BitAccelerator - деинсталировать ...
Восстановление системы - отключить
выполните скрипт ...

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\vedxg4am1et2.exe','');
 QuarantineFile('C:\WINDOWS\system32\n2ewma1xxsv2234.exe','');
 QuarantineFile('C:\WINDOWS\dgtxrdfxwk.dll','');
 QuarantineFile('яяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяя.exe','');
 QuarantineFile('C:\WINDOWS\system32\SiSPower.dll','');
 QuarantineFile('C:\WINDOWS\alofkmn.dll','');
 QuarantineFile('C:\Program Files\ASUS\NB Probe\SPM\ghaio.sys','');
 DeleteFile('C:\WINDOWS\alofkmn.dll');
 DeleteFile('C:\WINDOWS\dgtxrdfxwk.dll');
 DeleteFile('C:\WINDOWS\system32\n2ewma1xxsv2234.exe');
 DeleteFile('C:\WINDOWS\system32\vedxg4am1et2.exe');
 DelBHO('{7C75EBBF-94AC-4411-805D-03D9974B8561}');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

пришлите карантин согласно приложения 3 правил ....

[alexand11]

Подскажите как допустимо разделить virus.zip (1,6 МБ)?

[V_Bond]

прочитать приложение 3 правил ....

[alexand11]

Прошу прощения, плохо прочитал правила. Высылаю.

[rubin]

not-a-virus:AdWare.Win32.BHO.ic C:\Documents and Settings\Panin Alexander\Local Settings\Temporary Internet Files\Content.IE5\FZQK2WWC\BitAccelerator[3].exe
Trojan.Win32.ConnectionServices.o C:\System Volume Information\_restore{25AE9A64-F9F1-4581-B91B-F9F74BA5E68B}\RP71\A0051098.dll
Trojan.Win32.ConnectionServices.e C:\Documents and Settings\Panin Alexander\Local Settings\Temporary Internet Files\Content.IE5\PNAN05EQ\BitAccelerator[1].exe
Trojan.Win32.ConnectionServices.e C:\Documents and Settings\Panin Alexander\Local Settings\Temporary Internet Files\Content.IE5\PNAN05EQ\BitAccelerator[2].exe

Добавлено через 59 секунд

Остальное - ВирЛабу разбирать...

[alexand11]

Спасибо большое за помощь. И все же прошу, подскажите как мне определить все ли вычищено в системе и если вычищено не все как я должен действовать?

[rubin]

Trojan-Downloader.Win32.Tibs.wa C:\WINDOWS\system32\dllgh8jkd1q6.exe
Trojan-Downloader.Win32.Tibs.vz C:\Downloads\Программы\win32.rar\win32.exe
Trojan-Downloader.Win32.Tibs.wb C:\System Volume Information\_restore{25AE9A64-F9F1-4581-B91B-F9F74BA5E68B}\RP71\A0051102.exe
Trojan-Downloader.Win32.Tibs.wa C:\System Volume Information\_restore{25AE9A64-F9F1-4581-B91B-F9F74BA5E68B}\RP71\A0051117.exe
Trojan-Downloader.Win32.Tibs.wa C:\WINDOWS\system32\dllgh8jkd1q7.exe
Trojan-Downloader.Win32.Tibs.wa C:\WINDOWS\system32\n2ewma1xxsv2234.exe
Trojan-Downloader.Win32.Tibs.wa C:\WINDOWS\system32\vedxg4am1et2.exe
Trojan-Downloader.Win32.Tibs.wa C:\WINDOWS\system32\vedxga1me4t1.exe
Чистые
C:\WINDOWS\system32\AcSignIcon.dll
C:\Program Files\ASUS\NB Probe\SPM\ghaio.sys

Добавлено через 33 секунды

Пока ждем ответа ВирЛаба, ничего не делайте...

[AndreyKa]

alofkmn.dll, dgtxrdfxwk.dll - not-a-virus:AdWare.Win32.Vapsup.cec
Они должны были быть удалены скриптом.
alexand11, обновите бызы AVZ и сделайте новые логи для контроля.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 18
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\\documents and settings\\panin alexander\\local settings\\temporary internet files\\content.ie5\\fzqk2wwc\\bitaccelerator[3].exe - not-a-virus:WebToolbar.Win32.BitAccelerator.e (DrWEB: archive: Trojan.BitAcc)
  2. c:\\documents and settings\\panin alexander\\local settings\\temporary internet files\\content.ie5\\pnan05eq\\bitaccelerator[1].exe - not-a-virus:WebToolbar.Win32.BitAccelerator.e (DrWEB: archive: Trojan.BitAcc)
  3. c:\\documents and settings\\panin alexander\\local settings\\temporary internet files\\content.ie5\\pnan05eq\\bitaccelerator[2].exe - not-a-virus:WebToolbar.Win32.BitAccelerator.e (DrWEB: archive: Trojan.BitAcc)
  4. c:\\downloads\\программы\\win32.rar - Trojan-Downloader.Win32.Tibs.vz (DrWEB: archive: Trojan.DownLoader.19256)
  5. c:\\system volume information\\_restore{25ae9a64-f9f1-4581-b91b-f9f74ba5e68b}\\rp71\\a0051098.dll - Trojan.Win32.ConnectionServices.o (DrWEB: Trojan.BitAcc)
  6. c:\\system volume information\\_restore{25ae9a64-f9f1-4581-b91b-f9f74ba5e68b}\\rp71\\a0051102.exe - Trojan-Downloader.Win32.Tibs.wb (DrWEB: Trojan.Spambot.3007)
  7. c:\\system volume information\\_restore{25ae9a64-f9f1-4581-b91b-f9f74ba5e68b}\\rp71\\a0051117.exe - Trojan-Downloader.Win32.Tibs.wa (DrWEB: Trojan.DownLoader.19256)
  8. c:\\windows\\alofkmn.dll - not-a-virus:AdWare.Win32.Vapsup.cec
  9. c:\\windows\\dgtxrdfxwk.dll - not-a-virus:AdWare.Win32.Vapsup.cec
  10. c:\\windows\\system32\\dllgh8jkd1q6.exe - Trojan-Downloader.Win32.Tibs.wa
  11. c:\\windows\\system32\\dllgh8jkd1q7.exe - Trojan-Downloader.Win32.Tibs.wa
  12. c:\\windows\\system32\\n2ewma1xxsv2234.exe - Trojan-Downloader.Win32.Tibs.wa (DrWEB: Trojan.DownLoader.19256)
  13. c:\\windows\\system32\\vedxga1me4t1.exe - Trojan-Downloader.Win32.Tibs.wa (DrWEB: Trojan.DownLoader.19256)
  14. c:\\windows\\system32\\vedxg4am1et2.exe - Trojan-Downloader.Win32.Tibs.wa