Массовое заражение?

[Wedmak]

Есть сеть из нескольких компов, принесли новый, с последними обновлениями, установленным drweb. После подключения к сети стал тормозить. AVZ показал множество левых файлов в автозагрузке. Куреит при сканировании виснет намертво. Помогите вылечить.
В логах сканирование одного из компов в сети(не нового).

[Bratez]

Отключите восстановление системы!
Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('D:\WINDOWS\system32\Performance\csrss.exe','');
 QuarantineFile('D:\WINDOWS\system32\55555555555.exe','');
 QuarantineFile('C:\WINDOWS\system32\55555555555.exe','');
 QuarantineFile('D:\WINDOWS\system32\01.tmp','');
 QuarantineFile('D:\WINDOWS\system32\drivers\lul.sysH','');
 QuarantineFile('D:\WINDOWS\system32\WinHelp32.exe','');
 QuarantineFile('c:\windows\mfc42.exe','');
 QuarantineFile('c:\windows\system32\KERNEL32.exe','');
 QuarantineFile('D:\WINDOWS\system32\Drivers\lul.sys','');
 QuarantineFile('D:\DOCUME~1\ALLUSE~1\APPLIC~1\MACROM~1\SwUpdate\swupdate.dll','');
QuarantineFile('C:\WINDOWS\system32\migpwd.exe','');
DeleteFile('C:\WINDOWS\system32\migpwd.exe');
 DeleteFile('c:\windows\system32\KERNEL32.exe');
 DeleteFile('c:\windows\mfc42.exe');
 DeleteFile('D:\WINDOWS\system32\WinHelp32.exe');
 DeleteFile('D:\WINDOWS\system32\drivers\lul.sysH');
 DeleteFile('D:\WINDOWS\system32\Drivers\lul.sys');
 DeleteFile('D:\WINDOWS\system32\01.tmp');
 DeleteFile('C:\WINDOWS\system32\55555555555.exe');
 DeleteFile('D:\WINDOWS\system32\55555555555.exe');
 DeleteFile('D:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\01QRGTIJ\scanner[1].exe');
 DeleteFile('D:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\01QRGTIJ\scanner[2].exe');
 DeleteFile('D:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\S9MVSHUJ\1[1].exe');
 DeleteFile('D:\WINDOWS\system32\Performance\csrss.exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(9);
RebootWindows(true);
end.

Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=56178).
Сделайте новые логи.

[Wedmak]

карантин закачан
-----------------------------
скажите, легче все переустановить или все же вылечить?

[light59]

Сделайте новые логи.

А где логи-то?

[Wedmak]

логи все еще делаются ((

[Wedmak]

вот логи

[Bratez]

Пофиксите в HijackThis:

Код:

O4 - HKLM\..\RunOnce: [EGiW] %systemroot%\system32\rundll32.exe %systemroot%\system32\UTlJxKf.dll,DllRegisterServer

Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
 QuarantineFile('D:\WINDOWS\system32\Drivers\lul.sys','');
 QuarantineFile('D:\WINDOWS\system32\UTlJxKf.dll','');
 DeleteFile('D:\WINDOWS\system32\UTlJxKf.dll');
 DeleteFile('D:\WINDOWS\system32\Drivers\lul.sys');
 DeleteFile('D:\DOCUME~1\ALLUSE~1\APPLIC~1\MACROM~1\SwUpdate\swupdate.dll');
 DeleteFile('D:\System Volume Information\_restore{5DABD2A2-89C4-495D-9AAD-E4C6DAA4C47D}\RP377\A0060819.exe');
 DeleteFile('D:\System Volume Information\_restore{5DABD2A2-89C4-495D-9AAD-E4C6DAA4C47D}\RP380\A0060852.exe');
 DeleteFile('D:\System Volume Information\_restore{5DABD2A2-89C4-495D-9AAD-E4C6DAA4C47D}\RP381\A0061847.exe');
 DeleteFile('D:\System Volume Information\_restore{5DABD2A2-89C4-495D-9AAD-E4C6DAA4C47D}\RP386\A0061876.exe');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteSvc('mfia');
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.
Пришлите новый карантин согласно приложению 3 правил.
Сделайте новые логи (только п.2 и 3 раздела Диагностика).
Дополнительно сделайте лог gmer.

[Wedmak]

извиняюсь. компьютер скоропостижно умер (( переустановили систему.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 24
• В ходе лечения вредоносные программы в карантинах не обнаружены