В компьютер сестры залезли вирусы...

[Dim2]

Приветствую, в компе моей сестры определённо засели трояны которые забивают интернет канал, помогите пожалуйста выпроводить.
Антивирусник их не видит.

[polar_owl]

Закройте все программы, выгрузите антивирус, фаерволл

пофиксите В HijackThis:

Код:

R3 - URLSearchHook: (no name) -  - (no file)
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,\\?\globalroot\systemroot\system32\bCfH0Lo.exe,

Внимание !!! База поcледний раз обновлялась 21.08.2009 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)

Обновите обязательно!
Выполните в AVZ скрипт:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\docume~1\yura\locals~1\temp\gtk37.tmp');
 QuarantineFile('G:\pozuda/malena.exe','');
 QuarantineFile('C:\Program Files\Get-Styles 2.0\updatebho.dll','');
 QuarantineFile('\\?\globalroot\systemroot\system32\bCfH0Lo.exe','');
 QuarantineFile('C:\WINDOWS\system32\snti386.dll','');
 QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
 QuarantineFile('C:\WINDOWS\system32\qtplugin.exe','');
 QuarantineFile('C:\WINDOWS\services.exe','');
 QuarantineFile('C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe','');
 QuarantineFile('C:\RECYCLER\S-1-5-21-7285498997-5152287128-165673849-1162\nissan.exe','');
 QuarantineFile('C:\Documents and Settings\Yura\Главное меню\Программы\Автозагрузка\wwwzuc32.exe','');
 QuarantineFile('C:\Documents and Settings\Yura\Главное меню\Программы\Автозагрузка\nettir32.exe','');
 QuarantineFile('C:\WINDOWS\System32\drivers\vitra.sys','');
 QuarantineFile('C:\WINDOWS\system32\DRIVERS\tcpip.sys','');
 QuarantineFile('C:\WINDOWS\System32\msxsltsso.dll','');
 QuarantineFile('c:\docume~1\yura\locals~1\temp\gtk37.tmp','');
 DeleteFile('c:\docume~1\yura\locals~1\temp\gtk37.tmp');
 DeleteFile('C:\WINDOWS\System32\msxsltsso.dll');
 DeleteFile('C:\Documents and Settings\Yura\Главное меню\Программы\Автозагрузка\nettir32.exe');
 DeleteFile('C:\Documents and Settings\Yura\Главное меню\Программы\Автозагрузка\wwwzuc32.exe');
 DeleteFile('C:\RECYCLER\S-1-5-21-7285498997-5152287128-165673849-1162\nissan.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad','GootkitSSO');
 DeleteFile('C:\WINDOWS\services.exe');
 DeleteFile('C:\WINDOWS\system32\qtplugin.exe');
 DeleteFile('C:\WINDOWS\system32\sdra64.exe');
 DeleteFile('\\?\globalroot\systemroot\system32\bCfH0Lo.exe');
DeleteFile('C:\WINDOWS\system32\bCfH0Lo.exe');
  DeleteFile('G:\autorun.inf');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(11);
ExecuteRepair(16);
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер сам перезагрузится.
Выполните после перезагрузки такой скрипт:

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'virus.zip');
end.

В папке c АВЗ сохранится virus.zip.
Пришлите его по ссылке Прислать запрошенный карантин вверху темы.
Повторите логи.

[Dim2]

Готово

[polar_owl]

Закройте все программы, выгрузите антивирус, фаерволл

Выполните в AVZ скрипт:

Код:

begin
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
DeleteFile(GetAVZDirectory+'virus.zip');
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\system32\notepad.exe');
 QuarantineFile('C:\Documents and Settings\Yura\Local Settings\Temporary Internet Files\Content.IE5\PSDT4DH4\protod[1].exe','');
 QuarantineFile('C:\Documents and Settings\Yura\Local Settings\Temp\gtkD4.tmp','');
 QuarantineFile('c:\windows\system32\notepad.exe','');
 DeleteFileMask('C:\Documents and Settings\Yura\Local Settings\Temp','gtk*.tmp',false);
 DeleteFile('C:\Documents and Settings\Yura\Local Settings\Temporary Internet Files\Content.IE5\PSDT4DH4\protod[1].exe');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteRepair(11);
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер сам перезагрузится.
Выполните после перезагрузки такой скрипт:

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'virus.zip');
end.

В папке c АВЗ сохранится virus.zip.
Пришлите его по ссылке Прислать запрошенный карантин вверху темы.
Повторите логи.

Выполните процедуру, описанную в первом сообщении здесь:http://virusinfo.info/showthread.php?t=3519
Результат загрузки архива сообщите.

[Dim2]

Сделал.

Выполните процедуру, описанную в первом сообщении здесь:http://virusinfo.info/showthread.php?t=3519
Результат загрузки архива сообщите.

Результат загрузки:
Файл сохранён как 100621_111709_virusinfo_files_TANYA_4c1f11f55db05. zip
Размер файла 11641520
MD5 24d09483730cecc69dadfd9bff64ba65

[polar_owl]

Архив 100621_111709_virusinfo_files_TANYA_4c1f11f55db05. zip, загружен 21.06.2010 1130, размер 11641520 байт
Всего файлов: 17 (исполняемых 17), из них:
зловреды или опасные объекты: 0
подозрительные: 0
занесены в базу безопасных AVZ: 2
В очереди на добавление в базу безопасных:
высокий приоритет: 14
обычный приоритет: 1

Логи еще разок сделайте -- нужно убедиться, что все чисто...

[Dim2]

Вот

[polword]

- Выполните скрипт в AVZ

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
 ExecuteRepair(11);
 ExecuteWizard('TSW', 2, 2, true);
 ExecuteWizard('SCU', 2, 2, true);
 RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
 RebootWindows(true);
end.

После перезагрузки:
- Сделайте повторный лог virusinfo_syscheck.zip;

[Dim2]

Готово

[AndreyKa]

Чисто.

[Dim2]

Благодарю

Добавлено через 10 минут

Скажите пожалуйста, а из за чго может выводиться такое сообщение при старте системы?

---------------------------
lmgrd.exe - Ошибка приложения
---------------------------
Инструкция по адресу "0x0012e85d" обратилась к памяти по адресу "0x00005d00". Память не может быть "written".

"ОК" -- завершение приложения
"Отмена" -- отладка приложения

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 2
• Обработано файлов: 43
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\documents and settings\yura\главное меню\программы\автозагрузка\nettir32.exe - Packed.Win32.Krap.hm ( DrWEB: Trojan.Packed.20343 )
  2. c:\documents and settings\yura\главное меню\программы\автозагрузка\wwwzuc32.exe - Trojan-Proxy.Win32.Small.agy ( DrWEB: Trojan.Packed.20225, BitDefender: Trojan.Dropper.Bredolab.A, NOD32: Win32/TrojanDownloader.Bredolab.BE trojan, AVAST4: Win32:Small-NMF [Trj] )
  3. c:\recycler\s-1-5-21-7285498997-5152287128-165673849-1162\nissan.exe - Trojan.Win32.Inject.altn ( DrWEB: Trojan.Packed.688, BitDefender: Trojan.Generic.2833417, AVAST4: Win32:MalOb-AI [Cryp] )
  4. c:\windows\services.exe - Trojan.Win32.Siscos.ri ( DrWEB: Trojan.Siggen1.28266, BitDefender: Trojan.Generic.KD.9761, NOD32: Win32/Agent.AFTS trojan, AVAST4: Win32:Malware-gen )
  5. c:\windows\system32\msxsltsso.dll - Trojan-Downloader.Win32.Agent.delf ( DrWEB: BackDoor.Gootkit.15, BitDefender: Rootkit.33447, AVAST4: Win32:Rootkit-gen [Rtk] )
  6. c:\windows\system32\qtplugin.exe - Packed.Win32.Krap.ar ( DrWEB: Trojan.PWS.Siggen.4377, BitDefender: Gen:Variant.Koobface.1 )
  7. c:\windows\system32\sdra64.exe - Packed.Win32.Krap.w ( DrWEB: Trojan.Packed.19647, BitDefender: Gen:Heur.Krypt.11, AVAST4: Win32:Malware-gen )
  8. \\?\globalroot\systemroot\system32\bcfh0lo.exe - Trojan.Win32.Scar.ciza ( DrWEB: Trojan.Packed.20385, BitDefender: Trojan.Generic.4156280, AVAST4: Win32:Rootkit-gen [Rtk] )