Все тот же вирус gwdrive32.exe

[ZAR78]

Все сделал по пунткам правил.

Вот вложенные файлы.

[V_Bond]

выполните скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\76.exe','');
 QuarantineFile('C:\WINDOWS\system32\70.exe','');
 QuarantineFile('C:\WINDOWS\system32\58.exe','');
 QuarantineFile('C:\WINDOWS\system32\08.exe','');
 QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1413\syitm.exe,C:\RECYCLER\S-1-5-21-0421702665-1443442201-700230473-9056\csisf.exe,C:\Documents and Settings\ZaR\Application Data\oekx.exe,explorer.exe,C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1417\systm.exe','');
 QuarantineFile('C:\RECYCLER\S-1-5-21-6762533671-5127921370-192764225-8904\cwuoc.exe','');
 QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1413\syitm.exe','');
 QuarantineFile('C:\Documents and Settings\ZaR\Мои документы\trayinfo.exe','');
 QuarantineFile('C:\Documents and Settings\ZaR\Application Data\oekx.exe','');
 DeleteFile('C:\Documents and Settings\ZaR\Application Data\oekx.exe');
 DeleteFile('C:\Documents and Settings\ZaR\Мои документы\trayinfo.exe');
 DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1413\syitm.exe');
 DeleteFile('C:\RECYCLER\S-1-5-21-6762533671-5127921370-192764225-8904\cwuoc.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Taskman');
 DeleteFile('C:\RECYCLER\S-1-5-21-0421702665-1443442201-700230473-9056\csisf.exe');
 DeleteFile('C:\WINDOWS\system32\08.exe');
 DeleteFile('C:\WINDOWS\system32\58.exe');
 DeleteFile('C:\WINDOWS\system32\70.exe');
 DeleteFile('C:\WINDOWS\system32\76.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

пришлите карантин согласно приложения 3 правил
такой http://virusinfo.info/showthread.php?t=53070 лог сделайте

[ZAR78]

Программой MAM нашел 25 зараженных файла

[thyrex]

Установите все новые обновления для Windows
Установите Internet Explorer 8 (даже если им не пользуетесь)
Установите Acrobat Reader 9.4 или удалите старый


Новые логи AVZ и HiJack сделайте

Что с проблемой?

[ZAR78]

Вот последние логи


Большое спасибо!

[thyrex]

Систему почему не обновили? Если это не сделать, червь снова приползет

Выполните скрипт в AVZ

Код:

begin
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
RebootWindows(true);
end.

Компьютер перезагрузится.

Сделайте новый лог virusinfo_syscheck.zip

[ZAR78]

Так как интернет у нас медленный пришлось долго качать

логи после обновления

[polword]

1.Профиксите в HijackThis

Код:

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

2.Выполните скрипт в AVZ

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
 QuarantineFile('C:\WINDOWS\system32\serivces.exe','');
 DeleteService('PlugPlayCM');
 DeleteFile('C:\WINDOWS\system32\serivces.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman ');
 BC_ImportAll;
 ExecuteSysClean;
 ExecuteRepair(11);
 ExecuteWizard('TSW', 2, 2, true);
 ExecuteWizard('SCU', 2, 2, true);
 BC_Activate;
 RebootWindows(true);
end.

После перезагрузки:
- выполните такой скрипт

Код:

begin
  CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
 end.

- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторный лог virusinfo_syscheck.zip; hijackthis.log

[ZAR78]

При запуске скрипта в AVZ, в конце выдает ошибку

Access violation at address 7C90D254 in module "ntdll.dll". Write of address 0000002C

[snifer67]

- Сделайте повторный лог virusinfo_syscheck.zip; hijackthis.log

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 12
• В ходе лечения вредоносные программы в карантинах не обнаружены