Заблокирован реестр, перезагрузки и т.п. (логи не сохраняются)

[grafor]

Сильно тормозит ноут. (Win XP)

Во многих папках - дубликаты.

При попытке открытия программ типа CCleaner (более того - даже при попытке удалить/установить) и при переходе на сайт CCleanera - перезагрузка.

Hijackthis - аналогично.
upd: - AVPTool и Dr. Web CureIt! аналогично

Установленная AVZ скрипты выполняет, но логи не сохраняет - папка LOG пуста.
Пишет " >> Блокировка редактора реестра. >> проводник заблокирован доступ к свойствам папки.. >> Модифицирован ключ запуска проводника. >>"

В файле hosts вообще какой-то html по факту был (удалил).

Что делать?

[thyrex]

Попробуйте полиморфный AVZ из моей подписи

[grafor]

Получилось!

[миднайт]

Классика
В AVZ выполните скрипт:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 TerminateProcessByName('c:\documents and settings\user.grafor-5460dd70\local settings\application data\lsass.exe');
 TerminateProcessByName('c:\documents and settings\networkservice.nt authority\local settings\application data\lsass.exe');
 TerminateProcessByName('c:\documents and settings\networkservice.nt authority\local settings\application data\services.exe');
 TerminateProcessByName('c:\documents and settings\user.grafor-5460dd70\local settings\application data\services.exe');
 TerminateProcessByName('c:\documents and settings\user.grafor-5460dd70\local settings\application data\winlogon.exe');
 TerminateProcessByName('c:\documents and settings\networkservice.nt authority\local settings\application data\winlogon.exe');
 QuarantineFile('7668-NendangBro.com','');
 QuarantineFile('cmd-brontok.exe','');
 QuarantineFile('C:\WINDOWS\KesenjanganSosial.exe','');
 QuarantineFile('C:\Documents and Settings\user.GRAFOR-5460DD70\Главное меню\Программы\Автозагрузка\Empty.pif','');
 QuarantineFile('C:\Documents and Settings\user.GRAFOR-5460DD70\Local Settings\Application Data\br14577on.exe','');
 QuarantineFile('C:\Documents and Settings\NetworkService.NT AUTHORITY\Главное меню\Программы\Автозагрузка\Empty.pif','');
 QuarantineFile('C:\Documents and Settings\NetworkService.NT AUTHORITY\Local Settings\Application Data\br4743on.exe','');
 QuarantineFile('C:\WINDOWS\system32\drivers\ifp700.sys','');
 QuarantineFile('C:\Program Files\Evernote\Evernote\LibPCRE.dll','');
 QuarantineFile('C:\Program Files\Evernote\Evernote\Intl\EvernoteClipper.ru-RU.dll','');
 QuarantineFile('c:\documents and settings\networkservice.nt authority\local settings\application data\winlogon.exe','');
 QuarantineFile('c:\documents and settings\user.grafor-5460dd70\local settings\application data\winlogon.exe','');
 QuarantineFile('c:\documents and settings\user.grafor-5460dd70\local settings\application data\services.exe','');
 QuarantineFile('c:\documents and settings\networkservice.nt authority\local settings\application data\services.exe','');
 QuarantineFile('c:\documents and settings\networkservice.nt authority\local settings\application data\lsass.exe','');
 QuarantineFile('c:\documents and settings\user.grafor-5460dd70\local settings\application data\lsass.exe','');
 QuarantineFile('C:\WINDOWS\ShellNew\RakyatKelaparan.exe','');
 QuarantineFile('C:\Documents and Settings\user.GRAFOR-5460DD70\главное меню\программы\автозагрузка\empty.pif','');
 QuarantineFile('C:\WINDOWS\kesenjangansosial.exe','');
 QuarantineFile('C:\WINDOWS\system32\cmd-brontok.exe','');
 DeleteFile('C:\WINDOWS\system32\cmd-brontok.exe');
 DeleteFile('C:\WINDOWS\kesenjangansosial.exe');
 DeleteFile('C:\Documents and Settings\user.GRAFOR-5460DD70\главное меню\программы\автозагрузка\empty.pif');
 DeleteFile('C:\WINDOWS\ShellNew\RakyatKelaparan.exe');
 DeleteFile('c:\documents and settings\user.grafor-5460dd70\local settings\application data\lsass.exe');
 DeleteFile('c:\documents and settings\networkservice.nt authority\local settings\application data\lsass.exe');
 DeleteFile('c:\documents and settings\networkservice.nt authority\local settings\application data\services.exe');
 DeleteFile('c:\documents and settings\user.grafor-5460dd70\local settings\application data\services.exe');
 DeleteFile('c:\documents and settings\user.grafor-5460dd70\local settings\application data\winlogon.exe');
 DeleteFile('c:\documents and settings\networkservice.nt authority\local settings\application data\winlogon.exe');
 DeleteFile('C:\Documents and Settings\NetworkService.NT AUTHORITY\Local Settings\Application Data\br4743on.exe');
 RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','Tok-Cirrhatus-1860');
 RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','Tok-Cirrhatus-1860');
 DeleteFile('C:\Documents and Settings\NetworkService.NT AUTHORITY\Главное меню\Программы\Автозагрузка\Empty.pif');
 DeleteFile('C:\Documents and Settings\user.GRAFOR-5460DD70\Local Settings\Application Data\br14577on.exe');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Tok-Cirrhatus-6777');
 DeleteFile('C:\Documents and Settings\user.GRAFOR-5460DD70\Главное меню\Программы\Автозагрузка\Empty.pif');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Bron-Spizaetus');
 DeleteFile('C:\WINDOWS\KesenjanganSosial.exe');
 DeleteFile('cmd-brontok.exe');
 DeleteFile('7668-NendangBro.com');
 DeleteFile('c:\windows\Tasks\At1.job');
 DeleteFile('c:\windows\Tasks\At2.job');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(6);
ExecuteWizard('TSW',2,2,true);
BC_Activate;
ExecuteRepair(8);
ExecuteRepair(11);
ExecuteRepair(16);
ExecuteRepair(17);
RebootWindows(true);
end.

После перезагрузки

Код:

begin 
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Пришлите карантин quarantine.zip по красной ссылке Прислать запрошенный карантин вверху темы.
Логи повторите.

[thyrex]

А также

Сделайте лог полного сканирования МВАМ

[grafor]

Всё сделал

[thyrex]

Удалите в МВАМ все найденное

[grafor]

Всё сделал, всем спасибо!

[thyrex]

Проблема решена?

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 59
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\\documents and settings\\networkservice.nt authority\\local settings\\application data\\br4743on.exe - Email-Worm.Win32.Brontok.q ( DrWEB: Win32.HLLM.Generic.440, BitDefender: Win32.Generic.5643, NOD32: Win32/Brontok.BR worm, AVAST4: Win32:Brontok-CE [Wrm] )
  2. c:\\documents and settings\\networkservice.nt authority\\local settings\\application data\\lsass.exe - Email-Worm.Win32.Brontok.q ( DrWEB: Win32.HLLM.Generic.440, BitDefender: Win32.Generic.5643, NOD32: Win32/Brontok.BR worm, AVAST4: Win32:Brontok-CE [Wrm] )
  3. c:\\documents and settings\\networkservice.nt authority\\local settings\\application data\\services.exe - Email-Worm.Win32.Brontok.q ( DrWEB: Win32.HLLM.Generic.440, BitDefender: Win32.Generic.5643, NOD32: Win32/Brontok.BR worm, AVAST4: Win32:Brontok-CE [Wrm] )
  4. c:\\documents and settings\\networkservice.nt authority\\local settings\\application data\\winlogon.exe - Email-Worm.Win32.Brontok.q ( DrWEB: Win32.HLLM.Generic.440, BitDefender: Win32.Generic.5643, NOD32: Win32/Brontok.BR worm, AVAST4: Win32:Brontok-CE [Wrm] )
  5. c:\\documents and settings\\networkservice.nt authority\\главное меню\\программы\\автозагрузка\\empty.pif - Email-Worm.Win32.Brontok.q ( DrWEB: Win32.HLLM.Generic.440, BitDefender: Win32.Generic.5643, NOD32: Win32/Brontok.BR worm, AVAST4: Win32:Brontok-CE [Wrm] )
  6. c:\\documents and settings\\user.grafor-5460dd70\\local settings\\application data\\br14577on.exe - Email-Worm.Win32.Brontok.q ( DrWEB: Win32.HLLM.Generic.440, BitDefender: Win32.Generic.5643, NOD32: Win32/Brontok.BR worm, AVAST4: Win32:Brontok-CE [Wrm] )
  7. c:\\documents and settings\\user.grafor-5460dd70\\local settings\\application data\\lsass.exe - Email-Worm.Win32.Brontok.q ( DrWEB: Win32.HLLM.Generic.440, BitDefender: Win32.Generic.5643, NOD32: Win32/Brontok.BR worm, AVAST4: Win32:Brontok-CE [Wrm] )
  8. c:\\documents and settings\\user.grafor-5460dd70\\local settings\\application data\\services.exe - Email-Worm.Win32.Brontok.q ( DrWEB: Win32.HLLM.Generic.440, BitDefender: Win32.Generic.5643, NOD32: Win32/Brontok.BR worm, AVAST4: Win32:Brontok-CE [Wrm] )
  9. c:\\documents and settings\\user.grafor-5460dd70\\local settings\\application data\\winlogon.exe - Email-Worm.Win32.Brontok.q ( DrWEB: Win32.HLLM.Generic.440, BitDefender: Win32.Generic.5643, NOD32: Win32/Brontok.BR worm, AVAST4: Win32:Brontok-CE [Wrm] )
  10. c:\\documents and settings\\user.grafor-5460dd70\\главное меню\\программы\\автозагрузка\\empty.pif - Email-Worm.Win32.Brontok.q ( DrWEB: Win32.HLLM.Generic.440, BitDefender: Win32.Generic.5643, NOD32: Win32/Brontok.BR worm, AVAST4: Win32:Brontok-CE [Wrm] )
  11. c:\\windows\\kesenjangansosial.exe - Email-Worm.Win32.Brontok.q ( DrWEB: Win32.HLLM.Generic.440, BitDefender: Win32.Generic.5643, NOD32: Win32/Brontok.BR worm, AVAST4: Win32:Brontok-CE [Wrm] )
  12. c:\\windows\\shellnew\\rakyatkelaparan.exe - Email-Worm.Win32.Brontok.q ( DrWEB: Win32.HLLM.Generic.440, BitDefender: Win32.Generic.5643, NOD32: Win32/Brontok.BR worm, AVAST4: Win32:Brontok-CE [Wrm] )
  13. c:\\windows\\system32\\cmd-brontok.exe - Email-Worm.Win32.Brontok.q ( DrWEB: Win32.HLLM.Generic.440, BitDefender: Win32.Generic.5643, NOD32: Win32/Brontok.BR worm, AVAST4: Win32:Brontok-CE [Wrm] )
  14. c:\\7668-nendangbro.com - Email-Worm.Win32.Brontok.q ( DrWEB: Win32.HLLM.Generic.440, BitDefender: Win32.Generic.5643, NOD32: Win32/Brontok.BR worm, AVAST4: Win32:Brontok-CE [Wrm] )