Завелись секретные черви

антивирус (Avira) нашел несколько файлов-вирусов и предложил удалить их, после перезагрузки опять нашел их же и так каждый раз. Видимо он не смог найти архив из которого появился вирус. Вирус кстати сразу прибил виндовский файрвол и гуард антивируса. Гуард я вылечил переустановкой антивира, а файрвол пока мертв.
Сделал все что написано в правилах, помогите пожалуйста.

антивир ловит каждый раз эти файлы
[FONT=&quot]qy.sys
[/FONT][FONT=&quot]vrscn.dll
[/FONT] [FONT=&quot]ovrscn[/FONT]
[FONT=&quot]qz.dll [/FONT]

Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. [URL="http://virusinfo.info/showthread.php?t=7239"]Подробнее...[/URL]):
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('system32\DRIVERS\secdrv.sys','');
QuarantineFile('C:\PROGRA~1\Google\GOOGLE~1\GOEC62~1.DLL','');
QuarantineFile('ovrscn.dll','');
QuarantineFile('C:\WINDOWS\userinit.exe','');
DeleteFile('C:\WINDOWS\userinit.exe');
DeleteFile('ovrscn.dll');
BC_LogFile(GetAVZDirectory + 'boot_clr.log');
BC_ImportAll;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
[/code]
После выполнения скрипта компьютер перезагрузится.
После перезагрузки пришлите попавшие в карантин файлы согласно правилам (для отправки файлов следует воспользоваться ссылкой "Прислать запрошенные файлы" над первым сообщением темы)

[QUOTE='Vasy;120444']qy.sys
qy.dll
[/QUOTE]

поискать в AVZ, найдутся добавить в карантин и прислать.

нет у меня Zip`а, вот выложил результат в раре, пока пришлось удалить антивир, иначе система не загружается.
[URL]http://files.filefront.com//;7965656;;/[/URL]

[QUOTE='Vasy;120525']нет у меня Zip`а,[/QUOTE]

Zip встроен в AVZ. Заходишь в просмотр карантина, выделяешь все файлы, нажимаещь кнопочку с изображением Zip-а и все готово.

[quote=PavelA;120530]Zip встроен в AVZ. Заходишь в просмотр карантина, выделяешь все файлы, нажимаещь кнопочку с изображением Zip-а и все готово.[/quote]
скинул

В hijackthis профиксите:
[CODE]
O4 - HKLM\..\Run: [C:\WINDOWS\userinit.exe] C:\WINDOWS\userinit.exe
O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~1\GOEC62~1.DLL
O20 - Winlogon Notify: ovrscn - C:\WINDOWS\SYSTEM32\ovrscn.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\[/CODE]

Думаю, полегчает.
На всякий случай скачай Avenger с одноименного сайта.

[quote=PavelA;120542]В hijackthis профиксите:
[code]
O4 - HKLM\..\Run: [C:\WINDOWS\userinit.exe] C:\WINDOWS\userinit.exe
O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~1\GOEC62~1.DLL
O20 - Winlogon Notify: ovrscn - C:\WINDOWS\SYSTEM32\ovrscn.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\[/code]Думаю, полегчает.
На всякий случай скачай Avenger с одноименного сайта.[/quote]
О4 прибил Starter`ом, остальные пофиксил.
Теперь можно антивир включать?
Для чего нужен Avenger?
И еще как теперь мне восстановить файрвол? Он сейчас говорит, что не может отобразить себя вследствии непредвиденной ошибки.

Легче стало? Avenger может понадобиться для удаления файлов. Хиджак чистит только реестр. Он не удаляет файлы с диска. Если у тебя не заработает AVZ, то можно удалять через Avenger.

Попробуй включить антивирус и сделать проверку.

Нужны новые логи AVZ. Если не запуститься, на сайте Касперского есть Getsysteminfo. Скачаешь, сделаешь протокол и пришлешь сюда.

Стало легче
отчеты прикрепил, попробую перезагрузиться.
Авенджер не нашел, нашел какой-то Unlocker установил на всякий случай.

[QUOTE='Vasy;120556']отчеты прикрепил[/QUOTE]
А остальные где?

[quote=PavelA;120559]А остальные где?[/quote]
остальные, файрвол видимо сдох совсем

Выполнить скрипт:

[CODE]begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
SetAVZPMStatus(False);
DeleteFile('C:\WINDOWS\userinit.exe');
QuarantineFile('qy.dll','');
QuarantineFile('qy.sys','');
QuarantineFile('\??\C:\WINDOWS\system32\DRIVERS\Ip6Fw.sys' ,'');
DeleteFile('C:\PROGRA~1\Google\GOOGLE~1\GOEC62~1.DLL');
DeleteFile('C:\WINDOWS\SYSTEM32\ovrscn.dll');
ExecuteSysClean;
ExecuteStdScr(6);
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.[/CODE]

Прислать карантин и сделать новые логи.

В памяти засело два драйвера от AVZ. Что с этим делать пока не знаю.

Вот логи, карантин залил через верхнюю кнопку

Backdoor.Win32.Haxdoor.kz - 'C:\WINDOWS\userinit.exe' Твой зверь.

Возможно, к сожалению, во время лечения пострадал google Desktop. Его придется либо переустановить, либо восстановить из карантина dll-ку с ним связанную.
Вижу установил Outpost. Bиндусовый фаер так и не заработал?
Можно попробовать запустить проверку через Пуск -- Выполнить -- cmd, а затем sfc /scannow. Может потребоваться дистрибутив XP.

Думаю, лечение можно считать законченным, хотя подождем вердикта по карантину от ЛК.

ай, ай - спасибо огромное!!
С меня пиво!!
Куда? ))

Столица России. Ежели далеко, то пиши, где находишься. Можно в ЛС.
По работе мотаюсь в разные города, может когда-нибудь залечу.

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]20[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\userinit.exe - [B]Backdoor.Win32.Haxdoor.kz[/B] (DrWEB: Trojan.Packed.166)[/LIST][/LIST]