остатки после порнобанеров

[vlad_1976]

Здравствуйте, уважаемые!
принесли мне компьютер на лечение. при загрузке выползали 2 порнобанера от которых я избавился с помощью деблокеров, но по всей видимости осталась в машине еще куча всякой гадости. безопасный режим не загружается, выскакивает надпись "неожиданно завершен системный процесс c:\windows\system32\services.exe" и код какой-то -1073741795.И через минуту комп перезагружается. далее, при загрузке в обычном режиме вылезает стандартный блокнот с надписью "[.ShellClassInfo] LocalizedResourceName=@%SystemRoot%\system32\shell 32.dll,-21787" Ну и новое устройство какое-то хочет установится...
Проверьте пожалуйста логи.

[AndreyKa]

Закройте все программы. Запустите AVZ.
Выполните скрипт через меню Файл:

Код:

begin
SetAVZGuardStatus(True);
 ExecuteRepair(20);
ExecuteWizard('TSW', 2, 2, true);
 QuarantineFile('C:\Program Files\[В]Коммфорте\CommFort.exe','');
 QuarantineFile('C:\Program Files\plugin.exe','');
 QuarantineFile('C:\WINDOWS\system32\30520e1e.exe','');
 QuarantineFile('\\?\globalroot\systemroot\system32\Xy1Jzfx.exe','');
 QuarantineFile('\\?\globalroot\systemroot\system32\qcGO8VW.exe','');
 QuarantineFile('C:\DOCUME~1\user\LOCALS~1\Temp\espE6D4.tmp','');
 QuarantineFile('C:\WINDOWS\system32\mssrv32.exe','');
 QuarantineFile('C:\WINDOWS\system32\codf.ouo','');
 DeleteFile('C:\WINDOWS\system32\codf.ouo');
 DeleteFile('C:\WINDOWS\system32\mssrv32.exe');
 DeleteFile('C:\DOCUME~1\user\LOCALS~1\Temp\espE6D4.tmp');
 DeleteFile('\\?\globalroot\systemroot\system32\qcGO8VW.exe');
 DeleteFile('\\?\globalroot\systemroot\system32\Xy1Jzfx.exe');
 DeleteFile('C:\WINDOWS\system32\30520e1e.exe');
 DeleteFile('C:\Program Files\plugin.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.
Пришлите карантин через ссылку Прислать запрошенный карантин вверху темы, как написано в приложении 3 Правил.
Обновите базы AVZ.
Сделайте новый лог по пункту 2 Диагностики (virusinfo_syscheck.zip) и приложите к этой теме.

[vlad_1976]

скрипт выполнил. карантин закачал
Файл сохранён как 100519_174429_virus_4bf3eb3dd4322.zip
Размер файла 2644583
MD5 49a8f2ce2d9f0b65c9fbd945679c4357

[DefesT]

выполните скрипт в AVZ:

Код:

begin
 RegSearch('HKLM', '', 'espE6D4');
 SaveLog(GetAVZDirectory + 'avz.log');
end.

Прикрепите лог avz.log из папки AVZ

[vlad_1976]

лог АВЗ загрузил.
и еще, почему-то при каждой загрузке системы винда проверяет диск Е на ошибки.

[AndreyKa]

Запустите AVZ.
Выполните скрипт через меню Файл:

Код:

begin
RegKeyResetSecurity('HKLM','SYSTEM\CurrentControlSet\Control\Print\Providers\0CCF9D39');
RegKeyDel('HKLM','SYSTEM\CurrentControlSet\Control\Print\Providers\0CCF9D39');
ExecuteFile('C:\WINDOWS\system32\chkntfs.exe', '/x E:', 1, 0, false);
end.

Проблема решена?

[vlad_1976]

Диск Е больше не проверяет, но что делать с постоянно появляющейся надписью в блокноте после загрузки винды [.ShellClassInfo] LocalizedResourceName=@%SystemRoot%\system32\shell 32.dll,-21787
и в логе hijackthis присутствует O2 - BHO: wit for ie - {75ED56AF-4DC9-4243-A30C-4EF4DD0CA28F} - C:\Documents and Settings\user\AppData\LocalLow\ChameleonBob for IE\wit4ie.dll
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyOverride = 127.0.0.1;vkontakte.ru;www.vkontakte.ru
Это ни на что не повлияет?

[DefesT]

сделайте новые логи

[vlad_1976]

я напоминаю о себе... просто скажите, я и сам из автозагрузки удалю.

Добавлено через 1 минуту

сделайте новые логи

одновременно написали

[vlad_1976]

новые логи...

[AndreyKa]

В логах нет ничего подозрительного.
Проведите процедуру, описанную в первом сообщении тут: http://virusinfo.info/showthread.php?t=3519

Выполните в AVZ скрипт ScanVuln.txt и приложите сюда файл avz_log.txt из под-папки log.
Пройдитесь по ссылкам из файла avz_log.txt и установите обновления.
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

[vlad_1976]

avz_log загрузил...

[AndreyKa]

но что делать с постоянно появляющейся надписью в блокноте после загрузки винды

Удалите этот файл.

[vlad_1976]

все уязвимости устранил. Спасибо за лечение. не могли бы вы написать, какие вирусы были?

[AndreyKa]

C:\WINDOWS\system32\codf.ouo - Trojan.Win32.Oficla.o
C:\WINDOWS\system32\mssrv32.exe - Backdoor.Win32.Kbot.aky
\\?\globalroot\systemroot\system32\qcGO8VW.exe - Trojan.Win32.Scar.bwas
\\?\globalroot\systemroot\system32\Xy1Jzfx.exe - Trojan-Dropper.Win32.Shiz.ab

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 6
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\windows\system32\codf.ouo - Trojan.Win32.Oficla.o ( DrWEB: Trojan.Oficla.38, BitDefender: Trojan.Generic.3629099, NOD32: Win32/Oficla.GB trojan, AVAST4: Win32:Rootkit-gen [Rtk] )
  2. c:\windows\system32\mssrv32.exe - Backdoor.Win32.Kbot.aky ( DrWEB: Trojan.DownLoader.26661, BitDefender: Gen:Variant.Bredo.3, NOD32: Win32/Kbot.AB trojan )
  3. \\?\globalroot\systemroot\system32\qcgo8vw.exe - Trojan.Win32.Scar.bwas ( DrWEB: Trojan.Packed.19855, BitDefender: Trojan.Generic.3576676, AVAST4: Win32:Malware-gen )
  4. \\?\globalroot\systemroot\system32\xy1jzfx.exe - Trojan-Dropper.Win32.Shiz.ab ( DrWEB: Trojan.Packed.20032, BitDefender: Trojan.Generic.3638461, AVAST4: Win32:Malware-gen )