Одолели вирусы,просьба,помочь!

[m80821]

Добрый день!
Касперский со свежими базами не видит вирусы. Компьютер стал хуже работать. стали запускаться какие то левые программы и выскакивают ошибки. в автозагрузке сидит процесс psysnew,который не убирается и не уничтожается.
В прошлом году уже мне помогли. Надеюсь на очередную помощь!
Спасибо!!!

[light59]

"Пофиксите" в HijackThis

Код:

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:8600
O3 - Toolbar: VKontakte Bar - {A6790AA5-C6C7-4BCF-A46D-0FDAC4EA90EB} - C:\Program Files\VKontakte IE Toolbar\VKontakte.dll (file missing)
O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)

В AVZ -> файл-> Выполнить скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\cfdrive32.exe','');
 QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1455\psysnew.exe','');
 QuarantineFile('C:\Documents and Settings\Михаил\Application Data\oekx.exe','');
 DeleteService('winsecguard');
 QuarantineFile('C:\WINDOWS\Driver Cache\zpx2.exe','');
 TerminateProcessByName('c:\windows\cfdrive32.exe');
 QuarantineFile('c:\windows\cfdrive32.exe','');
 DeleteFile('c:\windows\cfdrive32.exe');
 DeleteFile('C:\WINDOWS\Driver Cache\zpx2.exe');
 BC_DeleteSvc('winsecguard');
 DeleteFile('C:\Documents and Settings\Михаил\Application Data\oekx.exe');
 DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1455\psysnew.exe');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','psysnew');
 DeleteFile('C:\WINDOWS\cfdrive32.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE',' Software\Microsoft\Windows NT\CurrentVersion\Winlogon',' Taskman');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.
Пришлите карантин согласно правил по ссылке Прислать запрошенный карантин.

Сделайте лог gmer

Повторите логи по правилам.

[m80821]

Вроде сделал.

[Nikkollo]

Сохраните в блокноте текст ниже как cleanup.bat в ту же папку, где находится f78s4zhc.exe (gmer)

Код:

f78s4zhc.exe -del service aghtwf
f78s4zhc.exe -del file "C:\WINDOWS\system32\agfnab.dll"
f78s4zhc.exe -del reg "HKLM\SYSTEM\ControlSet001\Services\aghtwf"
f78s4zhc.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\aghtwf"
f78s4zhc.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\aghtwf"
f78s4zhc.exe -reboot

И запустите cleanup.bat.
Компьютер перезагрузится!

Сделайте новый лог gmer.

[light59]

логи AVZ не забудьте, просил ведь

[Nikkollo]

Повторите логи по правилам.

Это тоже сделайте.

[m80821]

Вышлю логи,они очень долго делаются. Комп жутко тормозит. GMER только 5 часов проверял.
cleanup.bat сделал,как написано-комп не перезагрузился.

[Nikkollo]

На время создания логов отключайте интернет и антивирус\файрволл. Возможно так быстрей будет.
Но потом не забудьте их включить обратно.

[m80821]

Вроде сделал логи,как положено.Извините,если что не так делаю. Жду дальнейших инструкций!

[Nikkollo]

Выполните скрипт в AVZ:

Код:

Function RegKeyResetSecurityEx(ARoot, AName : string) : boolean;
var
i : integer;
KeyList : TStringList;
KeyName : string;
begin
RegKeyResetSecurity(ARoot, AName);
KeyList := TStringList.Create;
RegKeyEnumKey(ARoot, AName, KeyList);
for i := 0 to KeyList.Count-1 do
 begin
 KeyName := AName+'\'+KeyList[i];
 RegKeyResetSecurity(ARoot, KeyName);
 RegKeyResetSecurityEx(ARoot, KeyName);
 end;
KeyList.Free;
end;
Function BC_ServiceKill(AServiceName : string; AIsSvcHosted : boolean = true) : byte;
var
 i : integer;
 KeyList : TStringList;
 KeyName : string;
begin
 Result := 0;
 if StopService(AServiceName) then Result := Result or 1;
 if DeleteService(AServiceName,  not(AIsSvcHosted)) then Result := Result or 2;
 KeyList := TStringList.Create;
 RegKeyEnumKey('HKLM','SYSTEM', KeyList);
 for i := 0 to KeyList.Count-1 do
  if pos('controlset', LowerCase(KeyList[i])) > 0 then begin
   KeyName := 'SYSTEM\'+KeyList[i]+'\Services\'+AServiceName;
   if RegKeyExistsEx('HKLM', KeyName) then begin
    Result := Result or 4;
    RegKeyResetSecurityEx('HKLM', KeyName);
    RegKeyDel('HKLM', KeyName);
    if RegKeyExistsEx('HKLM', KeyName) then
     Result := Result or 8;
   end;
  end;
 if AIsSvcHosted then
  BC_DeleteSvcReg(AServiceName)
 else
  BC_DeleteSvc(AServiceName);
 KeyList.Free;
end;
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\Documents and Settings\Михаил\Application Data\oekx.exe','');
DeleteFile('C:\Documents and Settings\Михаил\Application Data\oekx.exe');
AddToLog(inttostr(BC_ServiceKill('aghtwf')) );
ExecuteSysClean;
ExecuteWizard('TSW', 2, 2, true);
 SaveLog(GetAVZDirectory+'avz_log.txt');
 BC_Activate;
 RebootWindows(true);
end.

Компьютер перезагрузится.

После перезагрузки выполните скрипт в AVZ:

Код:

 begin
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
 end.

Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы "Прислать запрошенный карантин".

Файл avz_log.txt из папки AVZ приложите здесь.

Повторите лог virusinfo_syscheck.zip и приложите в теме.

Добавлено через 2 минуты

Повторите лог gmer и тоже приложите.

[thyrex]

А также

Сделайте лог ComboFix

[m80821]

Карантин выслать не получилось-пишет,что такой файл уже был загружен. лог GMER будет часов через 5.

[thyrex]

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.

Код:

KillAll::

File::

Driver::
aghtwf

NetSvc::
aghtwf

Folder::

Registry::

FileLook::

DirLook::

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.

[m80821]

Очередной отчёт. GMER на середине работы завис,пришлось перезагружать комп. Есть ли смысл снова запускать?

[m80821]

Кстати,компьютер стал работать заметно быстрее...Хотя Винда загружается так же медленно,около 5 минут.

[thyrex]

Лог gmer не нужен. Все исправил ComboFix

Больше придраться не к чему

Удалите ComboFix

В логе видны 2 антивируса. Оставьте один

[m80821]

Что значит оставьте один? Поясните,пожалуйста. После удаления ComboFix при перезагрузке компа замечена ещё большая продолжительность загрузки windows. Все проблемы,которые были,так и остались:комп тормозит,долго грузиться,ощущение,что нехватает оперативки...

[light59]

То и значит, что оставить нужно один. 2 антивируса это возможная причина ваших тормозов. Так же могут быть сбои системы .

[m80821]

Спасибо и на этом! Второй антивирус удалил.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 2
• Обработано файлов: 17
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\\documents and settings\\михаил\\application data\\oekx.exe - Packed.Win32.Krap.ig ( DrWEB: Trojan.Inject.13653, BitDefender: Trojan.Generic.5267003, NOD32: Win32/Bflient.K worm, AVAST4: Win32:AutoRun-BRP [Trj] )
  2. c:\\recycler\\s-1-5-21-0243556031-888888379-781863308-1455\\psysnew.exe - Trojan.Win32.VBKrypt.aqub ( DrWEB: Win32.HLLW.Autoruner.17766, BitDefender: Trojan.Generic.5205718, AVAST4: Win32:Malware-gen )
  3. c:\\windows\\apppatch\\foklkqv.dat - Backdoor.Win32.Shiz.fnf ( DrWEB: Trojan.PWS.Ibank.300, BitDefender: Gen:Variant.Kazy.29093, AVAST4: Win32:MalOb-IP [Cryp] )
  4. c:\\windows\\cfdrive32.exe - Trojan.Win32.VBKrypt.anuy ( DrWEB: BackDoor.IRC.Bot.166, BitDefender: Trojan.Generic.5139142, AVAST4: Win32:Malware-gen )