Вирус. Аваст не справляется

[Alex-K]

Всем привет
Поймал вирус. Аваст что-то периодически удаляет, но вирус появляется снова.
Выкладываю логи. Посмотрите, если не сложно

[V_Bond]

выполните скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\DOCUME~1\123\LOCALS~1\Temp\esp5672.tmp','');
 QuarantineFile('C:\Documents and Settings\123\Application Data\Yfdayg\meeb.exe','');
 DeleteFile('C:\Documents and Settings\123\Application Data\Yfdayg\meeb.exe');
 DeleteFile('C:\DOCUME~1\123\LOCALS~1\Temp\esp5672.tmp');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

пришлите карантин согласно приложения 3 правил
повторите логи

[Alex-K]

Выкладываю

[thyrex]

Выполните скрипт в AVZ

Код:

begin
RegSearch('HKLM', '', 'esp5672.tmp');
 SaveLog('c:\avz00.log');
end.

Файл c:\avz00.log прикрепите к сообщению

[Alex-K]

Сделано

[polword]

- Выполните скрипт в AVZ

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,'); 
 DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
 QuarantineFile('C:\Program Files\Internet Explorer\setupapi.dll','');
 DeleteFile('C:\Program Files\Internet Explorer\setupapi.dll');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','System\CurrentControlSet\Control\Session Manager\AppCertDlls','DefaultVerifier');
 RegKeyDel('HKLM', 'SYSTEM\CurrentControlSet\Control\Print\Providers\A3573DAA');
 RegKeyDel('HKLM', 'SYSTEM\ControlSet001\Control\Print\Providers\A3573DAA');
 RegKeyDel('HKLM', 'SYSTEM\ControlSet002\Control\Print\Providers\A3573DAA3');
 DeleteFile('C:\DOCUME~1\123\LOCALS~1\Temp\esp5672.tmp');
 BC_ImportAll;
 ExecuteSysClean;
 ExecuteWizard('TSW', 2, 2, true);
 ExecuteWizard('SCU', 2, 2, true);
 BC_Activate;
 RebootWindows(true);
end.

После перезагрузки:
- выполните такой скрипт

Код:

begin
  CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
 end.

- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторный лог virusinfo_syscheck.zip;
- Сделайте лог MBAM

[Alex-K]

Сделано

[V_Bond]

удалите в mbam

Код:

Зараженные ключи в реестре:
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{494e6cec-7483-a4ee-0938-895519a84bc7} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{494e6cec-7483-a4ee-0938-895519a84bc7} (Backdoor.Bot) -> No action taken.
HKEY_CLASSES_ROOT\idid (Trojan.Sasfix) -> No action taken.

Зараженные параметры в реестре:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\windows sarby (Malware.Trace) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\uid (Malware.Trace) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_1 (Rootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_2 (Rootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_3 (Rootkit.Agent) -> No action taken
Зараженные папки:
C:\WINDOWS\system32\lowsec (Stolen.data) -> No action taken.

C:\WINDOWS\system32\DRIVERS\atapi.sys - пришлите согласно приложения 2 правил

[Alex-K]

Сделал

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 2
• Обработано файлов: 3
• В ходе лечения вредоносные программы в карантинах не обнаружены