Подхватил вирус. (Toget Access). Помогите вылечить.

[mm-kk]

Добрый день!

Пожалуйста, помогите вылечить, подхватил вирус: выскакивает поверх всех окон уведомление об активации ПО Toget Access.

Ни AVPTool, ни Dr. Web CureIt! не побороли этот вирус (поубивав другие).

Вот логи:

[thyrex]

1. Скачайте утилиту во вложении и запустите. Компьютер перезагрузится

2. Если в папке с утилитой появился файл drv.sys, запакуйте его и прикрепите к своему сообщению

3. Выполните скрипт в AVZ

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\Михаил Иванович\Главное меню\Программы\Автозагрузка\siszyd32.exe','');
 DeleteFile('C:\Documents and Settings\Михаил Иванович\Главное меню\Программы\Автозагрузка\siszyd32.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

4. Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

5. Обновите базы AVZ

6. Сделайте новые логи

[mm-kk]

Уведомление исчезло с экрана.

Новые логи:

Карантин загрузил через Upload по ссылке вверху темы.

[thyrex]

Выполните скрипт в AVZ

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\68C3F4\shell.fne','');
 QuarantineFile('C:\WINDOWS\system32\68C3F4\krnln.fnr','');
 QuarantineFile('C:\WINDOWS\system32\68C3F4\internet.fne','');
 QuarantineFile('C:\WINDOWS\system32\68C3F4\eAPI.fne','');
 QuarantineFile('C:\WINDOWS\system32\68C3F4\dp1.fne','');
 QuarantineFile('C:\WINDOWS\system32\68C3F4\com.run','');
 TerminateProcessByName('c:\windows\system32\68c3f4\11e955.exe');
 QuarantineFile('c:\windows\system32\68c3f4\11e955.exe','');
 DeleteFile('c:\windows\system32\68c3f4\11e955.exe');
 DeleteFile('C:\WINDOWS\system32\68C3F4\com.run');
 DeleteFile('C:\WINDOWS\system32\68C3F4\dp1.fne');
 DeleteFile('C:\WINDOWS\system32\68C3F4\eAPI.fne');
 DeleteFile('C:\WINDOWS\system32\68C3F4\internet.fne');
 DeleteFile('C:\WINDOWS\system32\68C3F4\krnln.fnr');
 DeleteFile('C:\WINDOWS\system32\68C3F4\shell.fne');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','11E955');
DeleteFileMask('C:\WINDOWS\system32\68C3F4', '*.*', true);
DeleteDirectory('C:\WINDOWS\system32\68C3F4');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

Сделайте новые логи

[mm-kk]

Логи:

[snifer67]

Выполните скрипт в avz

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteFile('F:\autorun.inf');
 DeleteFile('F:\Recycled.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

ПК перезагрузится.

Сделайте новый лог из пункта 2 Диагностики (virusinfo_syscheck.zip) и приложите к этой теме.

[mm-kk]

Лог:

[snifer67]

Чисто

Установите SP3 (может потребоваться активация) + все новые заплатки

[mm-kk]

Спасибо огромное за помощь: snifer67 и thyrex !!!
С наступающим Новым Годом!

Ура! Ура! Ура!

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 2
• Обработано файлов: 11
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\documents and settings\михаил иванович\главное меню\программы\автозагрузка\siszyd32.exe - Trojan-Dropper.Win32.HDrop.am ( DrWEB: Trojan.Botnetlog.124 )
  2. c:\windows\system32\68c3f4\11e955.exe - Worm.Win32.FlyStudio.cm ( DrWEB: Win32.HLLW.Autoruner.6411, BitDefender: Gen:Trojan.Heur.guW@WRGiZDmb, NOD32: Win32/FlyStudio.OBZ trojan )
  3. f:\autorun.inf - Trojan-Downloader.Win32.VB.eql ( DrWEB: Win32.HLLW.Autoruner.3257, BitDefender: Trojan.Autorun.AFZ, NOD32: INF/Autorun virus, AVAST4: VBS:Malware-gen )
  4. f:\recycled.exe - Worm.Win32.FlyStudio.cm ( DrWEB: Win32.HLLW.Autoruner.4360, BitDefender: GenPack:Backdoor.Generic.196367, NOD32: Win32/AutoRun.FlyStudio.FF worm, AVAST4: Win32:Trojan-gen )