Помогите с вирусами(RootKit,wwwznv32 и возможно kido)

[Faringit]

Помогите убрать с компа вирусы, у меня давно уже не открываются сайты антивирусов, ютуб и т.д. проверял прогой Cureit, нашел много вируслв, но проблема не решилаь, а сейчас НОД 32 нашел вирус wwwznv32, проверил Cureit , нашел какой то там RootKit. Логи кажется сделал правильно, если что то неправильно сори. Помогите плз =(

[olejah]

Внимание !!! База поcледний раз обновлялась 06.04.2008 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)
Протокол антивирусной утилиты AVZ версии 4.30

Просто раритет, скачайте новую АВЗ, обновите базы, переделайте логи.

[Faringit]

У меня эта ссылка не открывается, можно другую?

P.S. Я пробовал обновить свой AVZ, но выскакивала ошибка.

[olejah]

Вот такая - avz4.zip

И ещё - avz4.zip

[Faringit]

Вот сделал логи с последней версией проги, плз помогите убрать все вирусы.

[thyrex]

Скачайте "OSAM" (Online Solutions Autorun Manager). В меню драйверов правой кнопкой по yxbng и выберите "Turn Run Off", потом подтвердите перезагрузку.

html-лог работы утилиты заархивируйте и прикрепите к своему сообщению

Выполните скрипт в AVZ

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\Drivers\yxbng.sys','');
 QuarantineFile('C:\Documents and Settings\Администратор\Главное меню\Программы\Автозагрузка\wwwznv32.exe','');
 QuarantineFile('C:\Documents and Settings\Администратор\Application Data\CMedia\CMedia.dll','');
 DeleteFile('C:\Documents and Settings\Администратор\Application Data\CMedia\CMedia.dll');
 DeleteFile('C:\Documents and Settings\Администратор\Главное меню\Программы\Автозагрузка\wwwznv32.exe');
 DeleteFile('C:\WINDOWS\system32\Drivers\yxbng.sys');
DeleteFileMask('C:\Documents and Settings\Администратор\Application Data\CMedia', '*.*', true);
DeleteDirectory('C:\Documents and Settings\Администратор\Application Data\CMedia');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('yxbng');
BC_Activate;
ExecuteREpair(20);
RebootWindows(true);
end.

Компьютер перезагрузится.

Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

Сделайте новые логи

[Faringit]

"Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы"

Это как? Просто у меня не все страницы открываются на этом сайте изза вируса.

Я не вижу никакой красной ссылки...

ААА все, перезашел и появилось

[Faringit]

Карантин загрузил, вот все новые логи

[thyrex]

Выполните скрипт в AVZ в безопасном режиме

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('\\?\globalroot\systemroot\system32\7rheopk.exe','');
 QuarantineFile('c:\docume~1\9335~1\locals~1\temp\bldjad.exe','');
 QuarantineFile('C:\WINDOWS\system32\gwxlrg.exe','');
 QuarantineFile('C:\WINDOWS\system32\ad466cb4.exe','');
 QuarantineFile('C:\WINDOWS\system32\drivers\services.exe','');
 DeleteService('Schedule');
 DeleteFile('C:\WINDOWS\system32\drivers\services.exe');
 DeleteFile('C:\Documents and Settings\Администратор\Главное меню\Программы\Автозагрузка\wwwznv32.exe');
 DeleteFile('C:\WINDOWS\system32\ad466cb4.exe');
 DeleteFile('C:\WINDOWS\system32\gwxlrg.exe');
 DeleteFile('c:\docume~1\9335~1\locals~1\temp\bldjad.exe');
 DeleteFile('\\?\globalroot\systemroot\system32\7rheopk.exe');
 DeleteFile('C:\System Volume Information\_restore{1F45A59A-5061-4DA8-B1FF-508367DA5B51}\RP3\A0009161.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(20);
RebootWindows(true);
end.

Компьютер перезагрузится.

Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

Обновите базы AVZ

Сделайте новые логи в нормальном режиме

Скачайте RSIT. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

[Faringit]

А какие именно файлы прикрепить? все 5 файлов из 3-ех программ + карантин?

[olejah]

Карантин не надо, логи как в первом сообщении + логи RSIT.

[Faringit]

Ок ща сделаю все логи, но я уже вижу хорошее, NOD32 обновился =) и сайты антивирусов открываются теперь, Спасибо.
Но компьютер все еще немного тормозит, возможно какойто вирус еще остался.
Ща сделаю логи и отправлю сюда.

[Faringit]

Вот сделал 2 лога с помощью AVZ, 1 с помощью HiJackThis и 1 с помощью RSIT.


У меня в AVZ при создании лога по стандартному скрипу 2, в окне проверки написалась строка
D:\Игры\Dragon Age\tools\FaceFX\FxStudio.com - PE файл с измененным расширением, допускающим запуск (присуще вирусам)(степень опасности 35%)
В папке с однойц игрой. Не вирус ли это?

[PavelA]

Профиксить:

Код:

F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,c:\docume~1\9335~1\locals~1\temp\bldjad.exe,\\?\globalroot\systemroot\system32\7rheopk.exe,C:\WINDOWS\system32\ad466cb4.exe,C:\WINDOWS\system32\gwxlrg.exe,
O2 - BHO: Доступ к платному контенту FieryAds v2.0.1 - {6D125299-C2A9-4DBC-BEC3-6F7124E39A41} - (no file)

[Faringit]

Эти строки пофиксил, есть что нибудь в логах еще плохое?
и как насчёт D:\Игры\Dragon Age\tools\FaceFX\FxStudio.com - PE файл с измененным расширением, допускающим запуск (присуще вирусам)(степень опасности 35%) ?

[PavelA]

Можно лог МБАМ сделать, чтобы мусор зачистить.

[Faringit]

Можете дать ссылку где скачать?

[olejah]

Держите - http://virusinfo.info/showthread.php?t=53070

[Faringit]

Кто-нибудь из Хэлперов будет на форуме где-нить примерно в 21:00, 22:00...?
А то программа несколько часов будет проверят комп и я не хочу после проверки выключать компьютер, потому что уже нашлось 15 инфицированных объектов.

[PavelA]

Буду.