Не работают антивирусные сайты - TR/Patched.GM.6

[saiko3p]

Началось с того, что обнаружил в автозагрузке странный файл, состоящий из цифр.exe. Полез в ту папку \Local Settings\Temp и обнаружил там кучу таких файлов. Запустил сканнер Авиры, он нашел несколько подозрительных TR/Patched.GM.6, в частности в explorer.exe. Полез на антивирусные сайты, они все не работают, даже этот не работал. Но заработал после команды route -f.

Подскажите, как бороться?

[polword]

Отключите системное восстановление!!! как- посмотреть можно тут
Выполните скрипт в AVZ

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,'); 
 QuarantineFile('C:\WINXP\system32\stylyi.exe','');
 QuarantineFile('C:\WINXP\system32\a7249dcf.exe','');
 QuarantineFile('C:\RECYCLER\S-1-5-21-3324464501-9651551010-379352792-2154\syscr.exe','');
 QuarantineFile('C:\Documents and Settings\A\Application Data\ltzqai.exe','');
 QuarantineFile('C:\WINXP\system32\drivers\JulaWdm.sys','');
 QuarantineFile('C:\WINXP\system32\drivers\Jula.sys','');
 QuarantineFile('c:\winxp\system32\julapan.exe','');
 DeleteFile('C:\Documents and Settings\A\Application Data\ltzqai.exe');
 DeleteFile('C:\RECYCLER\S-1-5-21-3324464501-9651551010-379352792-2154\syscr.exe');
 DeleteFile('C:\WINXP\system32\a7249dcf.exe');
 DeleteFile('C:\WINXP\system32\stylyi.exe');
 DeleteFile('C:\WINXP\system32\2f047a20.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman ');
 BC_ImportAll;
 ExecuteSysClean;
 ExecuteRepair(11);
 ExecuteWizard('TSW', 2, 2, true);
 ExecuteWizard('SCU', 2, 2, true);
 RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun',221);
 BC_Activate;
 RebootWindows(true);
end.

После перезагрузки:
- выполните такой скрипт

Код:

begin
  CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
 end.

- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
- Сделайте лог Gmer
- Сделайте лог MBAM

[saiko3p]

Сделал.

[saiko3p]

И этот ещё. Дважды пробовал, но почему-то вместе со всеми не прикрепился.

[polword]

- Сохраните текст ниже как 1.bat в ту же папку, где находится ncc3w44x.exe (GMER) и запустите этот батник(1.bat):

Код:

ncc3w44x.exe -del service tcwhswmp
ncc3w44x.exe -del file "C:\WINXP\system32\ncyoi.dll"
ncc3w44x.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\tcwhswmp"
ncc3w44x.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\tcwhswmp"
ncc3w44x.exe -reboot

Компьютер перезагрузится.

После перезагрузки:
- Сделайте повторный лог virusinfo_syscheck.zip;

[saiko3p]

А то, что Mbam нашел - делать с этим что-нибудь, удалить, или не трогать? Пока прога открыта, а то довольно долгий процесс сканирования, если комп перезагрузится и потом это делать.

[polword]

А то, что Mbam нашел - делать с этим что-нибудь, удалить, или не трогать?

в логе подозрительного нет

[saiko3p]

Ааа, я подумал что это опасные штуки:

C:\Program Files\WinRAR\original\RAR Slayer v1.1.exe (Malware.Tool) -> No action taken.
C:\Program Files\The Bat!\Keygen.exe (Trojan.Agent.CK) -> No action taken.

Добавлено через 5 минут

Запустил 1.бат но вылезла ошибка:

An error 0x00000002 occured during deletion of file "C:\WINXP\system32\ncyoi.dll": не удается найти указанный файл

Добавлено через 1 час 7 минут

thyrex - помогите, плз, добить гадов, а то polword похоже ушел.

[thyrex]

Лог gmer новый сделайте

[saiko3p]

Сделал.

[thyrex]

Здесь чисто

Папку C:\Program Files\Common Files\2c8d5501 удалите вручную

Смените все пароли

Внимание! Официальная поддержка (и выпуск обновлений) для Windows XP SP2 прекращена

Установите SP3 (может потребоваться активация) + все новые обновления для Windows
Установите Internet Explorer 8 (даже если им не пользуетесь)

Что с проблемой?

[saiko3p]

Сайты антивирусов заработали с тех пор как я прописал "route -f", с тех пор работают без проблем.
Но при проверке Авира по прежнему находит:

C:\WINXP\explorer.exe
[ОБНАРУЖЕНИЕ] Троянская программа TR/Patched.GM.6
[ПРЕДУПРЕЖДЕНИЕ] 'Троянская программа TR/Patched.GM.6'.
C:\WINXP\system32\dllcache\explorer.exe
[ОБНАРУЖЕНИЕ] Троянская программа TR/Patched.GM.6

Или это ложное срабатывание?

И ещё подскажите,плз, чтобы sp3 и обновления поставить - нужно самому всё качать, или винда само может всё автоматом сделать??

Добавлено через 59 минут

Проверил файл на сайте вирустотал:

File name:
explorer.exe
Submission date:
2010-11-03 21:30:36 (UTC)
Current status:
finished
Result:
1/ 43 (2.3%)

Видимо, ложная тревога.

[thyrex]

C:\WINXP\explorer.exe и C:\WINXP\system32\dllcache\explorer.exe замените чистыми с дистрибутива http://virusinfo.info/showthread.php?t=51654

А лучше сразу приступить к обновлению системы

[saiko3p]

Большое спасибо за помощь! Установил все обновления, теперь авира ничего не находит.

[saiko3p]

Возник ещё вопрос: всех этих и обновлений и антивируса со встроенным фаирволом (у меня Avira premium security suit) достаточно, чтобы дрянь всякая не лезла в комп, или нужно ещё что-то поставить?

[saiko3p]

?

[thyrex]

Чтобы ответить на Ваш вопрос, нужно пользоваться данным продуктом

[saiko3p]

Обновил винду, но теперь стало "Эта копия Windows не прошла проверку подлинности" и windows update не работает из-за этой подлинности (подлости!).

Удалил отсюда HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify папку ‘WgaLogon’
Теперь не достаёт меня надписями при загрузке, но как быть с установкой критических обновлений?

В настройках у меня включено автом. обновление. Поставил там время на 0.00 и перезагрузил комп, но в это время никаких шевелений (обращений к винту и тд) не было.
Теперь винда не будет обновляться?

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 17
• В ходе лечения вредоносные программы в карантинах не обнаружены