Поможите, чем можете )))

[baa1]

Доброго времени суток !
После окончания срока действия пробного Касперского был поставлен NOD32. И один и второй наличия вирусов не показывали.
Появились проблемы с самопроизвольным подключением к И-нету, Периодически выскакивают окна IE.
Невозможно подключиться к серверам антивирусных программ : Dr.Web, CureIT , Avast, AVPTools.
AVZи HiJackThis скачались только с зеркал.
В настоящее время установлен Dr.Web из приложения к журналу Computer Bild, версия не самая новая, ибо не обновить до последней.

Поможите, чем можете )))


ЗЫ. Письма с активацией - не было...

[Гриша]

Пофиксить

Код:

R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
F2 - REG:system.ini: Shell=
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe,
O3 - Toolbar: (no name) - {FE063DB9-4EC0-403e-8DD8-394C54984B2C} - (no file)
O4 - HKLM\..\Run: [UpdateWin] C:\WINDOWS\system32\actmovieh.exe
O4 - HKLM\..\Run: [wdmon] C:\WINDOWS\wdmon.exe
O4 - HKLM\..\Run: [netc] C:\WINDOWS\svc.exe
O4 - HKLM\..\Run: [netx] C:\WINDOWS\svx.exe
O4 - HKLM\..\Run: [netw] C:\WINDOWS\svw.exe
O4 - HKLM\..\Run: [net64] C:\WINDOWS\svhoster.exe
O4 - HKLM\..\Run: [vlc] C:\WINDOWS\vlc.exe
O4 - HKLM\..\RunServices: [UpdateWin] C:\WINDOWS\system32\actmovieh.exe
O4 - HKCU\..\Run: [UpdateWin] C:\WINDOWS\system32\actmovieh.exe
O4 - HKCU\..\Run: [userinit] C:\WINDOWS\system32\ntos.exe
O4 - HKCU\..\Run: [MaxAntiSpy] C:\Program Files\MaxAntiSpy\MaxAntiSpy.exe
O4 - HKCU\..\RunServices: [UpdateWin] C:\WINDOWS\system32\actmovieh.exe
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O16 - DPF: {10000000-1000-0000-1000-000000000000} - file://C:\Program Files\Internet Explorer\svchosd.exe
O16 - DPF: {24311111-1111-1121-1111-111191113457} - file://c:\eied_s7.cab
O16 - DPF: {33331111-1111-1111-1111-611111193457} - file://c:\ex.cab
O16 - DPF: {33331111-1111-1111-1111-611111193458} - file://c:\ex.cab
O16 - DPF: {33331111-1111-1111-1111-622221193458} - file://c:\ex.cab
O16 - DPF: {43331111-1111-1111-1111-611111195622} - file://c:\ex.cab
O16 - DPF: {64311111-1111-1121-1111-111191113457} - file://c:\eied_s7.cab
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} - http://www.popcap.com/games/popcaploader_v6.cab
O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34546} - (no file)

Обновите базы AVZ!

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
 QuarantineFile('C:\WINDOWS\system32\actmovieh.exe','');
 QuarantineFile('C:\WINDOWS\system32\wsnpoem\audio.dll',' ');
 QuarantineFile('C:\WINDOWS\system32\wsnpoem\video.dll',' ');
 QuarantineFile('c:\windows\wdmon.exe','');
 TerminateProcessByName('c:\windows\wdmon.exe');
 QuarantineFile('c:\windows\vlc.exe','');
 TerminateProcessByName('c:\windows\vlc.exe');
 QuarantineFile('c:\windows\svx.exe','');
 TerminateProcessByName('c:\windows\svx.exe');
 QuarantineFile('c:\windows\svw.exe','');
 TerminateProcessByName('c:\windows\svw.exe');
 QuarantineFile('c:\windows\svhoster.exe','');
 TerminateProcessByName('c:\windows\svhoster.exe');
 QuarantineFile('C:\Program Files\Internet Explorer\svchosd.exe ',' ');
 QuarantineFile('c:\windows\svc.exe','');
 TerminateProcessByName('c:\windows\svc.exe');
 DeleteFile('c:\windows\svc.exe');
 DeleteFile('C:\WINDOWS\system32\wsnpoem\audio.dll');
 DeleteFile('C:\WINDOWS\system32\wsnpoem\video.dll');
 DeleteFile('c:\windows\svhoster.exe');
 DeleteFile('c:\windows\svw.exe');
 DeleteFile('c:\windows\svx.exe');
 DeleteFile('c:\windows\vlc.exe');
 DeleteFile('c:\windows\wdmon.exe');
 DeleteFile('C:\WINDOWS\svc.exe');
 DeleteFile('C:\WINDOWS\svhoster.exe');
 DeleteFile('C:\WINDOWS\svw.exe');
 DeleteFile('C:\WINDOWS\svx.exe');
 DeleteFile('C:\WINDOWS\vlc.exe');
 DeleteFile('C:\WINDOWS\wdmon.exe');
 DeleteFile('C:\WINDOWS\system32\actmovieh.exe');
 DeleteFile('C:\Program Files\Internet Explorer\svchosd.exe');
 DeleteFile('C:\WINDOWS\system32\ntos.exe');
 DeleteFile('msansspc.dll');
 DeleteFileMask('%tmp% ','*.* ',true);
 BC_ImportALL;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(6);
SetAVZPMStatus(true);
RebootWindows(true);
end.

Пришлите карантин по правилам и повторите логи...

[baa1]

Спасибо, Григорий !

1) При пофиксении почему-то не оказалось строчки :
O4 - HKLM\..\Run: [net64] C:\WINDOWS\svhoster.exe,
Остальное - пофиксил

Карантин выслал
Логи - прикрепил.
Из изменений :
Пока , тьфу-тьфу, самостоятельно никто в сеть не рвется.
Но к антивирусным сайтам допуска нет по-прежнему.
Запущено аж 6 процессов svchost.exe, это - нормально ?

[V_Bond]

выполните скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteFile('C:\WINDOWS\system32\TDSSofxh.dll');
 QuarantineFile('C:\Documents and Settings\Андрей\Local Settings\Temp\teste1_p.exe','');
 QuarantineFile('\systemroot\system32\drivers\TDSSpaxt.sys','');
 DeleteFile('\systemroot\system32\drivers\TDSSpaxt.sys');
 DeleteFile('C:\Documents and Settings\Андрей\Local Settings\Temp\teste1_p.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

пришлите карантин согласно приложения 3 правил
повторите логи ...

[baa1]

И Вам, добрый человек, спасибо !
Продолжу наблюдения завтра.

[V_Bond]

в логах ничего плохого ...

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 2
• Обработано файлов: 42
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\\documents and settings\\андрей\\local settings\\temp\\teste1_p.exe - Trojan-PSW.Win32.LdPinch.acsl (DrWEB: Trojan.Click.18599)
  2. c:\\windows\\svc.exe - Trojan-Clicker.Win32.Osewlone.i (DrWEB: Trojan.Click.2037
  3. c:\\windows\\svw.exe - Trojan-Clicker.Win32.Osewlone.i (DrWEB: Trojan.Click.2037
  4. c:\\windows\\svx.exe - Trojan-Clicker.Win32.Osewlone.i (DrWEB: Trojan.Click.2037
  5. c:\\windows\\vlc.exe - Trojan-Clicker.Win32.Osewlone.i (DrWEB: Trojan.Click.2037
  6. c:\\windows\\wdmon.exe - Trojan-Clicker.Win32.Osewlone.i (DrWEB: Trojan.Click.2037