Поселилась какая-то зараза..

[snn_nik]

Явно не проявляется, но при простой проверке AVZ находит перехват системных функций + одна dll-ка стабильно с вирусней, как ее не убивай, и еще один весьма подозрительный файл драйвера.. Все сделал по правилам, логи прилагаются.
Помогите, пожалуйста

[Kuzz]

1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\xkefqtgs.dll','');
 QuarantineFile('C:\WINDOWS\rnopbfgt.dll','');
 QuarantineFile('d:\distrib\net\winpopup.exe','');
 DeleteFile('C:\WINDOWS\rnopbfgt.dll');
 DeleteFile('C:\WINDOWS\xkefqtgs.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=26261

2.Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )

Код:

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O11 - Options group: [INTERNATIONAL] International*

Обратите внимание:
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyServer = 83.172.62.37:8081
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyOverride = _http://torrents.vtomske.ru/forum;
_http://worms.tom.ru
_http://nts.su
_http://www.fc-tom.ru

Повторите логи.

[snn_nik]

Карантин залил, скрипт выполнил. Сообщения AVZ о перехватчиках в пункте "1.5 Проверка обработчиков IRP", выделенные красным, остались..
Логи прикладываю.

[Kuzz]

1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\fyoqdhdx.dll','');
 QuarantineFile('C:\Documents and Settings\Hukuma\Local Settings\Temp\~DFD068.tmp','');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=26261

А перехваты вида:

Код:

\FileSystem\ntfs[IRP_MJ_CREATE] = 823DD1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_CLOSE] = 823DD1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_WRITE] = 823DD1F8 -> перехватчик не определен

обычное дело при присутствии деймонтул и антивирусов.

Антивирусы так перехватывают обращения к файлам для проверок, а DaemonTool - для маскировки от защит.

Надеюсь эта программа Вам знакома: D:\Distrib\Net\WinPopup.exe

[snn_nik]

Надеюсь эта программа Вам знакома: D:\Distrib\Net\WinPopup.exe

Да, полезная программка для общения по сети. Даже авторов знаю ) она вроде тока порты слушает..

Насчет перехвата Вы меня утешили , так что на данный момент беспокоит "Прямое чтение C:\WINDOWS\system32\drivers\sptd.sys".
Карантин залил, логи тут.

[V_Bond]

C:\WINDOWS\system32\drivers\sptd.sys и есть DaemonTool ...
выполните скрипт ...

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\fyoqdhdx.dll');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

повторите логи ...

[snn_nik]

выкладываю

[V_Bond]

выполните скрипт ....

Код:

begin
 BC_DeleteSvc('Mea1lhwpwter');
 BC_Activate;
 RebootWindows(true);
end.

больше ничего плохого не видно ....

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 2
• Обработано файлов: 3
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\\windows\\rnopbfgt.dll - Trojan.Win32.Vapsup.gte
  2. c:\\windows\\system32\\fyoqdhdx.dll - Trojan.Win32.Monderb.gen (DrWEB: Trojan.Virtumod.based.1
  3. c:\\windows\\xkefqtgs.dll - Trojan.Win32.Vapsup.gte