Помогите избавиться от вирусов.

[tj3d]

Всем добрый день.
В компьютере переодически отказываеются запускаться программы, в последнии дни IE совсем не запускается, падает. Логи пытался сделать в
нормальном режиме, но после того как AVZ начинал выполнять скрипт, машина перегружалась.

Понимаю что это не соответствует правилам, но по другому не смог сделать логи.

[Гриша]

Отключите антивирус и интернет!

Выполнять в обычном режиме...

Скачать,меню,File,появится аналог проводника,найти:

Код:

C:\WINDOWS\System32\Drivers\Winnq71.sys
C:\WINDOWS\system32\WinCtrl32.dll
C:\WINDOWS\System32\Drivers\Hsq59.sys

правая кнопка мыши Force Delete на запрос о перезагрузке ответьте положительно.

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 SetServiceStart('Hsq59', 4);
 StopService('Hsq59');    
 DelBHO('{C5AF49A2-94F3-42BD-F434-3604812C897D}');
 QuarantineFile('atiataxx.dll','');
 QuarantineFile('WinCtrl32.dll','');
 QuarantineFile('C:\Windows\system\winload.exe','');
 QuarantineFile('C:\WINDOWS\winlogon.exe','');
 QuarantineFile('C:\WINDOWS\system32\kdrrr.exe','');
 QuarantineFile('C:\WINDOWS\msserv.exe','');
 QuarantineFile('C:\WINDOWS\System32\winhelp.exe','');
 QuarantineFile('C:\WINDOWS\System32\ipserver.exe','');
 QuarantineFile('C:\WINDOWS\System32\ntos.exe','');
 QuarantineFile('C:\Temp\winlogan.exe','');
 QuarantineFile('C:\Temp\csrssc.exe','');
 QuarantineFile('C:\Documents and Settings\ssa\ie_updates3r.exe','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Hsq59.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winnq71.sys','');
 QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll','');
 QuarantineFile('C:\WINDOWS\System32\jdgf8edfsde.dll','');
 DeleteService('Hsq59'); 
 DeleteService('Google Online Services');     
 DeleteFile('C:\WINDOWS\System32\jdgf8edfsde.dll');
 DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winnq71.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Hsq59.sys');
 DeleteFile('C:\Documents and Settings\ssa\ie_updates3r.exe');
 DeleteFile('C:\Temp\csrssc.exe');
 DeleteFile('C:\Temp\winlogan.exe');
 DeleteFile('C:\WINDOWS\System32\ntos.exe');
 DeleteFile('C:\WINDOWS\System32\winhelp.exe');
 DeleteFile('C:\WINDOWS\msserv.exe');
 DeleteFile('C:\WINDOWS\system32\kdrrr.exe');
 DeleteFile('C:\WINDOWS\winlogon.exe');
 DeleteFile('C:\Windows\system\winload.exe');
 DeleteFile('WinCtrl32.dll');
 DeleteFile('atiataxx.dll');
BC_ImportALL;  
ExecuteSysClean;
BC_DeleteSvc('Hsq59 ');
BC_DeleteSvc('Google Online Services ');    
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке:http://virusinfo.info/upload_virus.php?tid=26564

Повторите логи...

[tj3d]

карантин отослал.
Вот новые логи

[Bratez]

Пофиксите в HijackThis:

Код:

O4 - HKCU\..\Run: [HJdfke9kfdf] C:\DOCUME~1\ssa\LOCALS~1\Temp\csrssc.exe
O20 - Winlogon Notify: atiataxx - C:\WINDOWS\
O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\

Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
 QuarantineFile('C:\DOCUME~1\ssa\LOCALS~1\Temp\csrssc.exe','');
 QuarantineFile('C:\WINDOWS\System32\drivers\Pyys83.sys','');
 DeleteFile('C:\WINDOWS\System32\ipserver.exe');
 DeleteFile('C:\WINDOWS\System32\drivers\Pyys83.sys');
 DeleteFile('C:\DOCUME~1\ssa\LOCALS~1\Temp\csrssc.exe');
 DeleteFile('C:\WINDOWS\System32\kdrrr.exe');
BC_ImportALL;
ExecuteSysClean;
ExecuteRepair(17);
ExecuteRepair(6);
ExecuteRepair(8);
RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
RegKeyParamDel( 'HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'System');
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.
Пришлите новый карантин согласно приложению 3 правил, если будет не пуст.
Сделайте новые логи, начиная с п.10 правил.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 48
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\\documents and settings\\ssa\\ie_updates3r.exe - Trojan-Downloader.Win32.Winlagons.zs (DrWEB: Trojan.DownLoader.based)
  2. c:\\temp\\winlogan.exe - Trojan-Downloader.Win32.Agent.wja (DrWEB: Trojan.DownLoad.2061)
  3. c:\\windows\\msserv.exe - Packed.Win32.Tibs.jn (DrWEB: Trojan.Packed.555)
  4. c:\\windows\\system\\winload.exe - Trojan.Win32.Buzus.lto (DrWEB: Trojan.MulDrop.18267)
  5. c:\\windows\\system32\\ipserver.exe - Trojan-Clicker.Win32.Delf.alm (DrWEB: Trojan.Click.19739)
  6. c:\\windows\\system32\\jdgf8edfsde.dll - Trojan.Win32.Agent.uvk (DrWEB: Trojan.Packed.56
  7. c:\\windows\\system32\\kdrrr.exe - Trojan.Win32.Monder.gen (DrWEB: Trojan.Virtumod.based.22)
  8. c:\\windows\\system32\\ntos.exe - Trojan-Spy.Win32.Zbot.deo (DrWEB: Trojan.Packed.511)
  9. c:\\windows\\system32\\winhelp.exe - Trojan.Win32.Buzus.mbg (DrWEB: Trojan.MulDrop.18434)
  10. c:\\windows\\winlogon.exe - Trojan.Win32.Agent.uvl (DrWEB: Trojan.Packed.573)
  11. \\quarantine\\2008-07-16\\bcqr00009.dta - Trojan.Win32.Monder.gen (DrWEB: Trojan.Virtumod.based.22)
  12. \\quarantine\\2008-07-16\\bcqr00010.dta - Trojan.Win32.Monder.gen (DrWEB: Trojan.Virtumod.based.22)
  13. \\quarantine\\2008-07-16\\bcqr00013.dta - Trojan.Win32.Buzus.mbg (DrWEB: Trojan.MulDrop.18434)
  14. \\quarantine\\2008-07-16\\bcqr00014.dta - Trojan.Win32.Buzus.mbg (DrWEB: Trojan.MulDrop.18434)
  15. \\quarantine\\2008-07-16\\bcqr00015.dta - Trojan-Clicker.Win32.Delf.alm (DrWEB: Trojan.Click.19739)
  16. \\quarantine\\2008-07-16\\bcqr00016.dta - Trojan-Clicker.Win32.Delf.alm (DrWEB: Trojan.Click.19739)