Вирус или кофликт?

[borber]

Пару часов комп работал, потом связь с инетом пропала и все перестало запускаться... Файл c:\docume~1\boris\locals~1\temp\svchost.exe я успел запаковать и отослать в DrWeb. Результата пока нет (они ведь на е-мэйл сообщают? или как узнать, что уже можно снова скачивать утилиту?).
У них на сайте реклама антивируса, кот можно установить на уже зараженный компьютер - может, снести мой старый необновляемый McAfee и установить DrWeb? Поможет против Win32.Kros?
Кто-нибудь что-нибудь посоветует? Заранее спасибо.)

[borber]

Добрый день.
От DrWeb ответа пока не дождался, провел снова лечение Cureit!. В безопасном режиме были опять заражены все exe-файлы, исцелены. При лечении в обычном режиме неожиданно утилита вирусов не обнаружила. На данный момент программы запускаются, соединение с Интернетом есть. Сделал логи, закачал карантин, посмотрите, пожалуйста.

[Гриша]

>>>> Опасно - файл avz.exe изменен, его CRC не прошла контроль по базе безопасных

AVZ скачайте заного и повторите логи...

[borber]

Скачал заново, логи повторил.
При перезагрузке компа каждый раз сначала выскакивает окошечко Windows installer,
потом сразу пытается распаковаться Sonic Activation Module, удаляю обоих кнопкой "Cancel", Sonic Activation Module пытается начать распаковываться несколько раз, только после нескольких нажатий "Cancel" успокаивается. Это повредились программы, или зловред пытается возродиться?
Соединение с сетью пропало опять, восстановилось после звонка в техподдержку провайдера...

[V_Bond]

пофиксите

Код:

O4 - Startup: Picture Motion Browser Media Check Tool.lnk = C:\Program Files\Sony\Sony Picture Utility\VolumeWatcher\SPUVolumeWatcher.exe

выполните скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DelBHO('{4E7BD74F-2B8D-469E-8DA9-FD60BB9AAE33}');
 QuarantineFile('C:\PROGRA~1\VMNTOO~2\VMNTOO~1.DLL','');
 DeleteFile('C:\PROGRA~1\VMNTOO~2\VMNTOO~1.DLL');
 DeleteFile('C:\Documents and Settings\Boris\Application Data\U3\temp\48bca3080\System\Apps\24142E37-DA3C-432a-82EA-59AD95B17904\Exec\1036\FixRes.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

пришлите карантин согласно приложения 3 правил
повторите логи

[borber]

Пофиксил, скрипт выполнил, карантин загрузил. Логи займут некоторое время...
При перезагрузке после скрипта картина повторилась: Windows installer,
потом Sonic Activation Module несколько раз, удалял обоих кнопкой "Cancel".

[borber]

Сделал логи:

[borber]

Стер вопрос - ответ нашелся в ЧаВо.

[borber]

Посмотрите, пожалуйста, мои логи...

[V_Bond]

пуск выполнить msconfig вкладка автозагрузка
убрать все галки, кроме строк содежащих
C:\Program Files\McAfee.com\Agent\mcagent.exe
C:\WINDOWS\system32\ctfmon.exe
перезагрузиться

[borber]

Выполнил, что Вы сказали. При перезагрузке получил сообщение:

Сделать, как оно хочет - галку в "Normal Srartup - load all device drivers and services"? Или проигнорировать?

[V_Bond]

так и длжно быть ...

[borber]

Извините, не вполне понял - что так и должно быть? Сообщение это? то есть оставить все как сейчас стало?
И я правильно понимаю, что в логах чисто, убился зловред?

[V_Bond]

зловредного ничего нет , что с остальными проблемами ?

[borber]

После того, как убрал галки, о кот Вы сказали - лишние окошки не выскакивали при перезагрузке.
Программы стартуют, связь с инетом не пропадает.) Некоторые из приложений пришлось переустановить - не находились exe-файлы. Но сейчас вроде все нормально.
Есть застарелая проблема - explorer запускается ну очень долго каждый раз, минуты по 3-4, но, я так понимаю, она нерешаемая - ее уже однажды здесь пытались обсудить, ничего не вышло. Но это неприятно, но терпимо, привык.
Спасибо за помощь!

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 5
• Обработано файлов: 38
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\\documents and settings\\boris\\application data\\u3\\000018604571e4fc\\236c571e-47d6-4a73-ad5a-97f1e555e375\\exec\\openofficeforu3stop.exe - Worm.Win32.Vasor.17400 (DrWEB: Win32.Kros)
  2. c:\\docume~1\\boris\\locals~1\\temp\\svchost.exe - Worm.Win32.Vasor.17400 (DrWEB: Win32.Kros)
  3. c:\\i386\\comp.exe - Worm.Win32.Vasor.17400 (DrWEB: Win32.Kros)
  4. c:\\i386\\dmremote.exe - Worm.Win32.Vasor.17400 (DrWEB: Win32.Kros)
  5. c:\\i386\\expand.exe - Worm.Win32.Vasor.17400 (DrWEB: Win32.Kros)
  6. c:\\i386\\forcedos.exe - Worm.Win32.Vasor.17400 (DrWEB: Win32.Kros)
  7. c:\\i386\\magnify.exe - Worm.Win32.Vasor.17400 (DrWEB: Win32.Kros)
  8. c:\\i386\\msswchx.exe - Worm.Win32.Vasor.17400 (DrWEB: Win32.Kros)
  9. c:\\i386\\perfmon.exe - Worm.Win32.Vasor.17400 (DrWEB: Win32.Kros)
  10. c:\\i386\\recover.exe - Worm.Win32.Vasor.17400 (DrWEB: Win32.Kros)
  11. c:\\i386\\rwinsta.exe - Worm.Win32.Vasor.17400 (DrWEB: Win32.Kros)
  12. c:\\i386\\tlntsess.exe - Worm.Win32.Vasor.17400 (DrWEB: Win32.Kros)
  13. c:\\i386\\winchat.exe - Worm.Win32.Vasor.17400 (DrWEB: Win32.Kros)
  14. c:\\program files\\common files\\apple\\mobile device support\\bin\\distnoted.exe - Worm.Win32.Vasor.17400 (DrWEB: Win32.Kros)
  15. c:\\program files\\dell support\\gtcoach\\tranplug.exe - Worm.Win32.Vasor.17400 (DrWEB: Win32.Kros)
  16. c:\\program files\\java\\jre1.6.0_07\\bin\\ssvagent.exe - Worm.Win32.Vasor.17400 (DrWEB: Win32.Kros)
  17. c:\\progra~1\\vmntoo~2\\vmntoolbar.dll - not-a-virus:AdWare.Win32.MegaSearch.j
  18. c:\\progra~1\\vmntoo~2\\vmntoo~1.dll - not-a-virus:AdWare.Win32.MegaSearch.j