Не могу победить вирус

Добрый день.
Не могу победить вирус. Запускается похоже через svchost.
Прописывается в реестре в HKLM\Software\Microsoft\WindowsNT\Winlogon\Userinit, как C:\Windows\AppPatch\*.dat (имя файла dat может меняться).
Прописывает свои IP-адреса в HKLM\System\CurrentControlSet\Services\Tcpip\Parameters\PersistentRoutes, как следствие не работает почта и обновление антивирусов.
При запуске MBAM вылетает explorer, AVZ запускается только с опцией am=y.
В папке c:\Windows\Temp спустя время появляется 2.exe, batch файл и словари для подбора паролей.

Путем восстановления системы и удаления подозрительных разделов из автозапуска и служб добился однодневной работы почты и антивируса, но через сутки все вернулось.
Добить заразу никак не могу. :censored:

Здравствуйте.
Мы постараемся вам помочь, если вы выполните раздел Диагностика правил:
[url]http://virusinfo.info/pravila.html[/url]
и приложите получившиеся логи.

Люди, Братья, Мужики!
Благодарность не будет знать границ (в пределах разумных).:beer:

Отключите интернет.
Выгрузите/отключите антивирус/файрволл.

Пофиксите в HijackThis:
[CODE]
F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,C:\WINDOWS\AppPatch\corxzyb.dat,
[/CODE]

Выполните скрипт в AVZ:
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\AppPatch\corxzyb.dat','');
DeleteFile('C:\WINDOWS\AppPatch\corxzyb.dat');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
BC_Activate;
RebootWindows(true);
end.
[/CODE]
Компьютер перезагрузится.

После перезагрузки выполните скрипт в AVZ:
[CODE]
begin
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
end.
[/CODE]

Запустите/включите антивирус/файрволл.
Подключите интернет.

Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы "Прислать запрошенный карантин".

Повторите лог virusinfo_syscheck.zip и лог HijackThis и приложите в теме.


C:\sender\Sender.exe
D:\MApteka\Bin\csystray.exe
Это вам знакомо?

Мил человек, громадное Вам спасибо.
На первый взгляд проблем нет.:beer:
Посмотрим как дальше будем жить..

P.S.
Этож надо, при живом-то лицензионном НОД32....:furious3:

Пофиксите в HijackThis:
[CODE]
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
[/CODE]

Повторите лог HijackThis и приложите в теме.

Вот обновленный лог

Теперь чисто.
Проблемы есть еще?

Спасибо, все хорошо.

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]3[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\apppatch\\corxzyb.dat - [B]Trojan.Win32.Jorik.Shiz.iq[/B] ( DrWEB: Trojan.Packed.20771, BitDefender: Trojan.Generic.KDV.201621, AVAST4: Win32:MalOb-IP [Cryp] )[/LIST][/LIST]