Не стартует Outpost, Nod32, вылетает svchost

[qwerty3000]

Собственно сабж.

в журнале событий следующие записи:

Доступ к C:\PROGRA~1\Agnitum\OUTPOS~1\op_mon.exe был ограничен Администратором по расположению правилом политики {145984ed-f19d-47e4-9c24-60711dd4c51a}, расположенной в C:\Program Files\Agnitum

Доступ к C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe был ограничен Администратором по расположению правилом политики {b2b498dc-1487-4e04-a361-4ad13d8de8f5}, расположенной в C:\Program Files\ESET

Служба центра обеспечения безопасности остановлена. Остановка произведена групповой политикой.

Автоматическая подача заявки на сертификат Локальная система: не удалось связаться с каталогом Active Directory (0x8007054b). Указанный домен не существует или к нему невозможно подключиться.
Подача заявки выполнена не будет.

Не удалось получить имя контроллера домена в этой сети. (Указанный домен не существует или к нему невозможно подключиться. ). Обработка групповой политики прекращена.

[thyrex]

Выполните скрипт в AVZ

Код:

begin
ExecuteRepair(6);
RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1); 
RebootWindows(true);
end.

Компьютер перезагрузится.

Что с проблемой?

[qwerty3000]

Теперь Outpost и Nod32 стартуют

Аутпостом после перезагрузки зарегистрированы подозрительные исходящие соединения от usb_magr.exe и spoolsvc.exe,
а так же попытку изменения критических данных скрытым приложением vvmnp.exe

очевидно это и есть засевшая у меня малваря

каким образом (вышеназванные файлы заблокированы) и что еще согласно отчетам AVZ следует удалить?

[thyrex]

Сделайте лог http://virusinfo.info/showpost.php?p=493610&postcount=1

[qwerty3000]

после каждой перезагрузки Аутпост фиксирует постоянные попытки изменения критических файлов и ключов реестра, svchost регулярно продолжает благополучно вылетать, чем парализует нормальную работу Windows

сделал лог ComboFix'а:

[thyrex]

Выполните скрипт в AVZ

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\windows\system32\bvl.exe','');
 QuarantineFile('c:\windows\system32\lepb.exe','');
QuarantineFile('c:\windows\system32\vvmnp.exe','');
QuarantineFile('c:\windows\system32\mini.exe','');
QuarantineFile('c:\windows\usb_magr.exe','');
DeleteFile('c:\windows\usb_magr.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

[qwerty3000]

полагаю эти файлы тоже можно удалить из системы?

PS: сразу после перезагрузки Аутпостом была еще зарегистрирована попытка доступа приложения UJ.EXE к C:\windows\system32\iexplore.exe и LMCTMPI.EXE к c:\windows\system32\Isass.exe
и так же их попытка приконнектится (как и всех из карантина, кроме usb_magr.exe) к серверу с подозрительным называнием my.favourite.color.is.pink.gs

[thyrex]

Удалите архив из вложений и пришлите, как полагается

[qwerty3000]

Результат загрузки

Файл сохранён как 100226_182606_virus_4b87e80e6b11b.zip
Размер файла 352614
MD5 d2b11e86a11ff85205bdd62204efc8ac

[qwerty3000]

АП!

[thyrex]

Выполните скрипт в AVZ

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('c:\windows\system32\bvl.exe');
DeleteFile('c:\windows\system32\lepb.exe');
DeleteFile('c:\windows\system32\vvmnp.exe');
DeleteFile('c:\windows\system32\mini.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

Сделайте новый лог ComboFix

[qwerty3000]

Сделано, но в ходе работы ComboFix несколько раз с ошибкой завершались какие то программы с расширением .СFXXE

[thyrex]

На ошибки внимание не обращайте

Выполните скрипт в AVZ

Код:

begin
DeleteFile('c:\windows\usb_magr.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

Сделайте новый лог ComboFix

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 5
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\windows\system32\bvl.exe - Trojan.Win32.Agent.dlee ( DrWEB: BackDoor.IRC.Bot.200 )
  2. c:\windows\system32\lepb.exe - Trojan.Win32.Agent.dlee ( DrWEB: BackDoor.IRC.Bot.200 )
  3. c:\windows\system32\mini.exe - Trojan.Win32.Agent.dcmz ( DrWEB: BackDoor.IRC.Sdbot.6107, BitDefender: Trojan.Generic.2642512, NOD32: Win32/AutoRun.IRCBot.DI worm, AVAST4: Win32:Trojan-gen )
  4. c:\windows\system32\vvmnp.exe - Trojan.Win32.Agent.dlee ( DrWEB: BackDoor.IRC.Bot.200 )
  5. c:\windows\usb_magr.exe - Trojan.Win32.Agent.dcmz ( DrWEB: BackDoor.IRC.Sdbot.6107, BitDefender: Trojan.Generic.2642512, NOD32: Win32/AutoRun.IRCBot.DI worm, AVAST4: Win32:Trojan-gen )