Не могу убить Backdoor.Win32.UltimateDefender.geq

[Vistovich]

Неделю назад обратил внимание на несанкционированную активность в приемке и передачи данных из сети, замедление работы ПК и мелкие глюки!? Решил почиститься и провериться вот тут началось странное???
Dr.Web(R) v 4.44.5 и Антивирус Касперского 6.0 для Windows Workstations героически нашло вредоносные объекты и удалили их. После перезагрузки повторилось ВСЕ заново,
послендяя проверка Касперского в очередной раз убила:
- Backdoor.Win32.UltimateDefender.geq
- Trojan-Downloader.Win32.Mutant.aim

Прошу ПОМОГИТЕ убить ЗАРАЗУ!!!!
Логи высылаю.

[Rene-gad]

Внимание !!! База поcледний раз обновлялась 06.04.2008 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)


Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.

- Выполните скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 StopService('Winyt45');
 StopService('Winyi46');
 StopService('Winye80');
 StopService('Winxu54');
 StopService('Winxt56');
 StopService('Winxe57');
 StopService('Winwc34');
 StopService('Winwa42');
 StopService('Winvq24');
 StopService('Winus54');
 StopService('Winso23');
 StopService('Winrn45');
 StopService('Winpy02');
 StopService('Winpd32');
 StopService('Winnd45');
 StopService('Winky34');
 StopService('Winki88');
 StopService('Winki56');
 StopService('Winjo11');
 StopService('Winiu55');
 StopService('Winhk02');
 StopService('Wingi56');
 StopService('Winfa76');
 StopService('Winae80');
 QuarantineFile('WinCtrl32.dll','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winyt45.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winyi46.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winye80.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winxu54.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winxt56.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winxe57.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winwc34.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winwa42.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winvq24.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winus54.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winso23.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winrn45.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winpy02.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winpd32.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winnd45.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winky34.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winki88.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winjo11.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winiu55.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winhk02.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Wingi56.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Wincx33.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Wincx01.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winae80.sys','');
 DeleteFile('WinCtrl32.dll');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winyt45.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winyi46.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winye80.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winxu54.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winxt56.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winxe57.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winwc34.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winwa42.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winvq24.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winus54.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winso23.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winrn45.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winpy02.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winpd32.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winnd45.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winky34.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winki88.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winki56.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winjo11.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winiu55.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winhk02.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Wingi56.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winfa76.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Wincx33.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Wincx01.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winae80.sys');
 DelBHO('{2EAF5BB2-070F-11D3-9307-00C04FAE2D4F}');
 DelBHO('{2EAF5BB1-070F-11D3-9307-00C04FAE2D4F}');
BC_ImportAll;
ExecuteSysClean; BC_DeleteSvc('Winyt45');
 BC_DeleteSvc('Winyi46');
 BC_DeleteSvc('Winye80');
 BC_DeleteSvc('Winxu54');
 BC_DeleteSvc('Winxt56');
 BC_DeleteSvc('Winxe57');
 BC_DeleteSvc('Winwc34');
 BC_DeleteSvc('Winwa42');
 BC_DeleteSvc('Winvq24');
 BC_DeleteSvc('Winus54');
 BC_DeleteSvc('Winso23');
 BC_DeleteSvc('Winrn45');
 BC_DeleteSvc('Winpy02');
 BC_DeleteSvc('Winpd32');
 BC_DeleteSvc('Winnd45');
 BC_DeleteSvc('Winky34');
 BC_DeleteSvc('Winki88');
 BC_DeleteSvc('Winki56');
 BC_DeleteSvc('Winjo11');
 BC_DeleteSvc('Winiu55');
 BC_DeleteSvc('Winhk02');
 BC_DeleteSvc('Wingi56');
 BC_DeleteSvc('Winfa76');
 BC_DeleteSvc('Wincx33');
 BC_DeleteSvc('Winae80');
BC_Activate;
RebootWindows(true);
end.

После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 2 правил).
- Прикрепите логи к новому сообщению.

[Vistovich]

Добрый вечер Rene-gad!
Выполнил все тои указания!
Спонтаного обмена данными не набльдаю!!!
Прикольно, что обновить АВЗ смог только после выполнения твоего скрипта, до этого были постоянные сбои.!!??

Неожиданно после Загрузки Антивируса получил следующее:
- Лог событи Ad-Watch
24.10.2008 20:30:39 - Обнаружена модификация регистра
Корневая:HKEY_CURRENT_USER
Ключ:Software\Microsoft\Windows\CurrentVersion\Pol icies\Explorer
Значение:ClearRecentDocsOnExit - действие заблокировал !?
- Предупреждение Касперского
24.10.2008 20:42:15 C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\browsers.exe Внедряемый процесс: C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\browsers.exe ID процесса (PID): 576 Попытка внедрения в процесс: C:\WINDOWS\system32\svchost.exe ID процесса (PID): 2536
24.10.2008 20:42:15 C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\browsers.exe Действие запрещено.

24.10.2008 20:42:33 C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\browsers.exe Внедряемый процесс: C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\browsers.exe ID процесса (PID): 620 Попытка внедрения в процесс: C:\WINDOWS\system32\svchost.exe ID процесса (PID): 868
24.10.2008 20:42:33 C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\browsers.exe Действие запрещено

Логи высылаю.

[V_Bond]

оставте один антивирус
пофиксите

Код:

O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\

выполните скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteService('Winye46');
 DeleteService('Winuq78');
 DeleteService('Winnj80');
 DeleteService('Winei44');
 DeleteService('Windp01');
 DeleteService('Winau00');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winau00.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Windp01.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winei44.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winnj80.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winuq78.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winye46.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

повторите логи