Много вирусов

[frogti]

Проверял компьютер нод32, он нашел много вирусов, но все удалить не смог, после перезагрузки опять их полным полно.
Сделал все по инструкции, жду результатов.

[Nikkollo]

Отключите интернет.
Выгрузите/отключите антивирус/файрволл.

Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\DOCUME~1\ЭДУАРД\LOCALS~1\Temp\inb3nt.exe','');
 QuarantineFile('C:\DOCUME~1\ЭДУАРД\LOCALS~1\Temp\geurge.exe','');
 QuarantineFile('c:\windows\system32\spoolsv.exe','');
 QuarantineFile('c:\windows\system32\scrnsave.scr','');
 QuarantineFile('c:\windows\explorer.exe','');
 QuarantineFile('c:\windows\system32\ctfmon.exe','');
 DeleteFile('C:\DOCUME~1\ЭДУАРД\LOCALS~1\Temp\geurge.exe');
 DeleteFile('C:\DOCUME~1\ЭДУАРД\LOCALS~1\Temp\inb3nt.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

После перезагрузки выполните скрипт в AVZ:

Код:

 begin
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
 end.

Запустите/включите антивирус/файрволл.
Подключите интернет.

Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы "Прислать запрошенный карантин".

Повторите лог virusinfo_syscheck.zip и приложите в теме.

Сделайте лог gmer (не забыв поставить галочку на диск C и нажав Scan):
http://virusinfo.info/showthread.php?t=40118
и приложите его в теме.

Файл Hosts сами правили?

[frogti]

Нправляю файлы.

По вопросу: Ничего сам не правил!

[Nikkollo]

Отключите интернет.
Выгрузите/отключите антивирус/файрволл.

Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\WINDOWS\system32\dvbbagly.dll','');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','ewrgetuj');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','hi4np');
ClearHostsFile;
BC_ImportAll;
ExecuteWizard('TSW',2,3,true);
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

После перезагрузки выполните скрипт в AVZ:

Код:

 begin
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
 end.

Запустите/включите антивирус/файрволл.
Подключите интернет.

Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы "Прислать запрошенный карантин".

Сохраните в блокноте текст ниже как cleanup.bat в ту же папку, где находится p146rkx5.exe (gmer)

Код:

p146rkx5.exe -del service aznjnuwus
p146rkx5.exe -del file "C:\WINDOWS\system32\dvbbagly.dll"
p146rkx5.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\aznjnuwus"
p146rkx5.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\aznjnuwus"
p146rkx5.exe -reboot

И запустите cleanup.bat.
Компьютер перезагрузится!

Повторите лог virusinfo_syscheck.zip и приложите в теме.
Повторите лог gmer и приложите в теме.

[frogti]

Все по интсрукции.
Но после запуска бат файла - синий экран и перезагрузка!

[Nikkollo]

Выполните скрипт в AVZ:

Код:

Function RegKeyResetSecurityEx(ARoot, AName : string) : boolean;
var
i : integer;
KeyList : TStringList;
KeyName : string;
begin
RegKeyResetSecurity(ARoot, AName);
KeyList := TStringList.Create;
RegKeyEnumKey(ARoot, AName, KeyList);
for i := 0 to KeyList.Count-1 do
 begin
 KeyName := AName+'\'+KeyList[i];
 RegKeyResetSecurity(ARoot, KeyName);
 RegKeyResetSecurityEx(ARoot, KeyName);
 end;
KeyList.Free;
end;
Function BC_ServiceKill(AServiceName : string; AIsSvcHosted : boolean = true) : byte;
var
 i : integer;
 KeyList : TStringList;
 KeyName : string;
begin
 Result := 0;
 if StopService(AServiceName) then Result := Result or 1;
 if DeleteService(AServiceName,  not(AIsSvcHosted)) then Result := Result or 2;
 KeyList := TStringList.Create;
 RegKeyEnumKey('HKLM','SYSTEM', KeyList);
 for i := 0 to KeyList.Count-1 do
  if pos('controlset', LowerCase(KeyList[i])) > 0 then begin
   KeyName := 'SYSTEM\'+KeyList[i]+'\Services\'+AServiceName;
   if RegKeyExistsEx('HKLM', KeyName) then begin
    Result := Result or 4;
    RegKeyResetSecurityEx('HKLM', KeyName);
    RegKeyDel('HKLM', KeyName);
    if RegKeyExistsEx('HKLM', KeyName) then
     Result := Result or 8;
   end;
  end;
 if AIsSvcHosted then
  BC_DeleteSvcReg(AServiceName)
 else
  BC_DeleteSvc(AServiceName);
 KeyList.Free;
end;
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 AddToLog(inttostr(BC_ServiceKill('aznjnuwus')) );
 SaveLog(GetAVZDirectory+'avz_log.txt');
 ExecuteRepair(13);
 BC_Activate;
 RebootWindows(true);
end.

Компьютер перезагрузится.

Повторите лог virusinfo_syscheck.zip и приложите в теме.

Файл avz_log.txt из папки AVZ тоже приложите.

Установите Service Pack 3 и обновления, вышедшие после него (может потребоваться активация).
Обновите Internet Explorer до актуальной версии (даже если не используете).

[frogti]

сейчас постараемся сделать!

[Nikkollo]

Лог virusinfo_syscheck.zip старый приложили...
Нужно выполнить пункт 2 раздела "Диагностика" правил и приложить новый лог.

[frogti]

Направляю обновленный

[Nikkollo]

Код:

Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.17023)

Установите Service Pack 3 и обновления, вышедшие после него (может потребоваться активация).
Обновите Internet Explorer до актуальной версии (даже если не используете).

Сделайте лог MBAM:
http://virusinfo.info/showthread.php?t=53070
и приложите.

[frogti]

Обновление сп3 и выше сделал, експлорер так и остался 7.... ( я так понимаю он же обновляется через автоматическое обновление)
Лог направляю.

[Nikkollo]

Удалите в MBAM:

Код:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DRM\amty (Worm.Autorun) -> No action taken.
C:\WINDOWS\Temp\VRTB284.tmp (Trojan.Agent) -> No action taken.

Более подозрительного не видно. Что с проблемой?

[frogti]

Все вроде ок! Спасибо!

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 2
• Обработано файлов: 18
• В ходе лечения вредоносные программы в карантинах не обнаружены