Блокиратор Windows

[dgr]

Поймал блокиратор Windows, с которым самостоятельно справиться не получилось: полная проверка CureIt показала пару троянов, но от блокиратора не избавила. Он убился сам вводом кода svipper, спасибо сайту д-ра Веба
В списке процессов при старте системы образуются net.exe, net1.exe, netprotocol.exe, puos.exe, которые приходится убивать (причем puos убиваться почти всегда отказывается) руками.
Хотелось бы полностью вывести всю дрянь с машины.
Спасибо за помощь.

[thyrex]

Выполните скрипт в AVZ

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\Gr\Application Data\netprotocol.exe','');
 SetServiceStart('mkdrv', 4);
 DeleteService('mkdrv');
 QuarantineFile('C:\WINDOWS\system32\MsPMSPSv.exe','');
 QuarantineFile('C:\WINDOWS\dasf.sys','');
 DeleteFile('C:\WINDOWS\dasf.sys');
 DeleteFile('C:\Documents and Settings\Gr\Application Data\netprotocol.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Netprotocol');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(16);
RebootWindows(true);
end.

Компьютер перезагрузится.

Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

Сделайте новые логи

[dgr]

Сделано.

[polword]

- virus.zip - удалите из темы

Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

Что с проблемой?

[dgr]

- virus.zip - удалите из темы


Что с проблемой?

Процессы net и net1 появляются при старте системы, но сразу исчезают.
Снова стал обновляться антивирус, что есть хорошо
Ставлю полную проверку антивирусом еще раз.

[thyrex]

Сделайте лог ComboFix

[dgr]

Антивирус отключал, как умел, но ComboFix все равно его где-то узрел.

[thyrex]

Что сейчас с проблемой?

[dgr]

Процессы net и net1 по-прежнему в системе; только что заметил какой-то " wowclient", хотя никакого wow'а не было и нет.

[миднайт]

Сделайте лог MBAM
Выполните в AVZ скрипт из файла ScanVuln.txt и приложите к этой теме файл avz_log.txt из под-папки log.
Пройдитесь по ссылкам из файла avz_log.txt и установите обновления.
Перезагрузите компьютер.
Повторите выполнение скрипта, чтобы убедиться, что уязвимости устранены.

[dgr]

net'ы все еще в системе.
рекомендации ScanVuln выполнил, запустил его еще раз, он сказал, что скрипт выполнен без ошибок, и нового лога не создал.

[миднайт]

Удалите в mbam:

Код:

Заражённые параметры в реестре:
HKEY_CURRENT_USER\Software\Microsoft\idln2 (Malware.Trace) -> Value: idln2 -> No action taken.
HKEY_CURRENT_USER\Software\Microsoft\bk (Malware.Trace) -> Value: bk -> No action taken.
Заражённые файлы:
c:\documents and settings\Gr\application data\fieryads.dat (Adware.FieryAds) -> No action taken.
c:\documents and settings\Kate\application data\fieryads.dat (Adware.FieryAds) -> No action taken.

[dgr]

Сделано.
Net'ы все еще в системе (после перезагрузки). Живучие, гады =)

[миднайт]

В AVZ - Сервис - Поиск файлов на диске - поищете эти злополучные файлы net.exe, net1.exe. Что найдете добавьте в карантин AVZ и пришлите по правилам.

[dgr]

Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\net1.exe)
Карантин с использованием прямого чтения - ошибка

и так со всеми.
можно прислать сами *.exe-шники?

[polword]

Пришлите файлы запакованным в архив ZIP с паролем: virus по ссылке Прислать запрошенный карантин вверху темы

[dgr]

Файл сохранён как 101217_085312_virus_4d0afac84ff07.zip
Размер файла 86811
MD5 062a6eb24d72ec7462e234fd33355e5d

[thyrex]

Файлы чистые

[миднайт]

Это файлы от операционной системы с подписью микрософта.
http://www.file.net/process/net.exe.html

[dgr]

Спасибо за помощь!