Сильное вирусное заражение

Здравствуйте.
Было сильное вирусное заражение компьютера. Просканировал его в безопасном режиме с помощью утилиты CureIt, она нашла кучу зараженных файлов, но остались подозрения на присутствие вирусов в системе.
Посмотрите, пожалуйста.

Уважаемый(ая) [B]kanti[/B], спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{DA2477E7-CF4C-255F-5741-40697330ED12}');
QuarantineFile('c:\windows\csrss.exe','');
QuarantineFile('C:\WINDOWS\system32\nkrfmjmzqjzbnjg4nerc.dll','');
QuarantineFile('C:\WINDOWS\system32\jjj.exe','');
QuarantineFile('C:\WINDOWS\system32\gggg.exe','');
QuarantineFile('C:\WINDOWS\system32\explorer.exe','');
QuarantineFile('C:\WINDOWS\system32\ehevs8.exe','');
QuarantineFile('C:\WINDOWS\system32\config\systemprofile\6szzkoiujs.exe','');
QuarantineFile('C:\WINDOWS\system32\config\systemprofile\4.exe','');
QuarantineFile('C:\WINDOWS\System32\userinit.exe','');
QuarantineFile('C:\Documents and Settings\Серега\dfz89yqs79.exe','');
QuarantineFile('C:\Documents and Settings\Серега\Application Data\4fhj.exe','');
QuarantineFile('C:\Documents and Settings\Серега\Application Data\KB435218.exe','');
QuarantineFile('C:\Documents and Settings\Серега\Application Data\netprotocol.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\phllon.sys','');
DeleteService('abp470n5');
QuarantineFile('C:\Documents and Settings\Серега\Application Data\MouseDriver.bat','');
QuarantineFile('c:\windows\system32\nkrfmjmzqjzbnjg4nerc.dll','');
QuarantineFile('c:\documents and settings\Серега\application data\4fhj.exe','');
TerminateProcessByName('c:\documents and settings\Серега\application data\4fhj.exe');
DeleteFile('c:\documents and settings\Серега\application data\4fhj.exe');
DeleteFile('c:\windows\system32\nkrfmjmzqjzbnjg4nerc.dll');
DeleteFile('C:\WINDOWS\system32\drivers\phllon.sys');
DeleteFile('C:\Documents and Settings\Серега\Application Data\4fhj.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','hka5av');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','38t2');
RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','KB435218.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Netprotocol');
DeleteFile('C:\Documents and Settings\Серега\Application Data\netprotocol.exe');
DeleteFile('C:\Documents and Settings\Серега\Application Data\KB435218.exe');
RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','dfz89yqs79');
DeleteFile('C:\Documents and Settings\Серега\dfz89yqs79.exe');
RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','dfz89yqs79');
DeleteFile('C:\WINDOWS\system32\config\systemprofile\4.exe');
RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','4');
RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','4');
RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','6szzkoiujs');
DeleteFile('C:\WINDOWS\system32\config\systemprofile\6szzkoiujs.exe');
RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','6szzkoiujs');
DeleteFile('C:\WINDOWS\system32\gggg.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','gggg');
DeleteFile('C:\WINDOWS\system32\jjj.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','jjj');
DeleteFile('C:\WINDOWS\system32\nkrfmjmzqjzbnjg4nerc.dll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\cdfycyyh\Parameters','ServiceDll');
QuarantineFile('C:\WINDOWS\system32\ghost.exe','');
DeleteFile('c:\windows\csrss.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Generic Host Process for Win32 Services');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Client Server Runtime Process');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(11);
ExecuteRepair(17);
ExecuteRepair(9);
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.[/CODE]

После перезагрузки:
- выполните такой скрипт
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
- Файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ загрузите по ссылке [B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B] вверху темы
- Сделайте повторные логи по [URL="http://virusinfo.info/pravila.html"]правилам[/URL] п.2 и 3 раздела Диагностика.([COLOR="Blue"]virusinfo_syscheck.zip;hijackthis.log[/COLOR])
- Сделайте лог [URL="http://virusinfo.info/showpost.php?p=457118&postcount=1"][COLOR="Blue"][B]MBAM[/B][/COLOR][/URL]

Карантин загрузил

Выполните скрипт в AVZ
[code]begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\WINDOWS\system32\nwcwks.dll', 'MBAM: Trojan.Inject');
QuarantineFile('c:\WINDOWS\system32\ehevs8.exe', 'MBAM: Trojan.Agent');
QuarantineFile('c:\WINDOWS\system32\MSWINSCK.OCX', 'MBAM: Worm.Nyxem');
QuarantineFile('c:\documents and settings\Серега\application data\9qus02crs.exe', 'MBAM: Trojan.Agent.Gen');
QuarantineFile('c:\documents and settings\Серега\application data\hkoici08.dll', 'MBAM: Adware.Agent');
QuarantineFile('c:\documents and settings\Серега\application data\kt3q2svd5.exe', 'MBAM: Trojan.Agent.Gen');
QuarantineFile('c:\documents and settings\Серега\application data\n2iz308a.exe', 'MBAM: Trojan.Agent.Gen');
QuarantineFile('c:\documents and settings\Серега\application data\netprotdrvss.exe', 'MBAM: Backdoor.IRCBot');
QuarantineFile('c:\documents and settings\Серега\application data\od02g03da.exe', 'MBAM: Trojan.Agent.Gen');
QuarantineFile('c:\documents and settings\Серега\application data\p8nw6t5vy.exe', 'MBAM: Trojan.Agent.Gen');
QuarantineFile('c:\documents and settings\Серега\doctorweb\quarantine\hkoici08.exe', 'MBAM: Adware.Agent');
QuarantineFile('c:\documents and settings\Серега\doctorweb\quarantine\nwcwks.dll', 'MBAM: Trojan.Inject');
QuarantineFile('c:\documents and settings\Серега\doctorweb\quarantine\regutils.dll', 'MBAM: Trojan.Agent');
QuarantineFile('c:\documents and settings\Серега\doctorweb\quarantine\VRTB.tmp', 'MBAM: Backdoor.Agent.H');
QuarantineFile('c:\program files\complus applications\mdw.dll', 'MBAM: Spyware.Agent');
QuarantineFile('c:\program files\complus applications\qt3.dll', 'MBAM: Trojan.Agent');
QuarantineFile('c:\program files\complus applications\repodbc.dll', 'MBAM: Trojan.Agent');
QuarantineFile('c:\WINDOWS\system32\bpk.dat', 'MBAM: Keylogger');
QuarantineFile('c:\WINDOWS\system32\inst.dat', 'MBAM: Keylogger');
QuarantineFile('c:\WINDOWS\system32\pk.bin', 'MBAM: Keylogger');
QuarantineFile('c:\WINDOWS\system32\sircheckfile.dat', 'MBAM: Malware.Trace');
QuarantineFile('c:\WINDOWS\AppPatch\AcXtrnal.xml', 'MBAM: Spyware.OnlineGames');
QuarantineFile('c:\documents and settings\Серега\application data\mousedriver.bat', 'MBAM: Trojan.Agent');
QuarantineFile('c:\WINDOWS\system32\livefloat.zip', 'MBAM: Adware.Kraddare');
DeleteFile('c:\WINDOWS\system32\nwcwks.dll');
DeleteFile('c:\WINDOWS\system32\ehevs8.exe');
DeleteFile('c:\WINDOWS\system32\MSWINSCK.OCX');
DeleteFile('c:\documents and settings\Серега\application data\9qus02crs.exe');
DeleteFile('c:\documents and settings\Серега\application data\hkoici08.dll');
DeleteFile('c:\documents and settings\Серега\application data\kt3q2svd5.exe');
DeleteFile('c:\documents and settings\Серега\application data\n2iz308a.exe');
DeleteFile('c:\documents and settings\Серега\application data\netprotdrvss.exe');
DeleteFile('c:\documents and settings\Серега\application data\od02g03da.exe');
DeleteFile('c:\documents and settings\Серега\application data\p8nw6t5vy.exe');
DeleteFile('c:\documents and settings\Серега\doctorweb\quarantine\hkoici08.exe');
DeleteFile('c:\documents and settings\Серега\doctorweb\quarantine\nwcwks.dll');
DeleteFile('c:\documents and settings\Серега\doctorweb\quarantine\regutils.dll');
DeleteFile('c:\documents and settings\Серега\doctorweb\quarantine\VRTB.tmp');
DeleteFile('c:\documents and settings\Серега\рабочий стол\avz4\avz4\Infected\2011-09-30\avz00002.dta');
DeleteFile('c:\documents and settings\Серега\рабочий стол\avz4\avz4\Infected\2011-09-30\avz00004.dta');
DeleteFile('c:\system volume information\_restore{76f49703-965e-4e1c-9b9b-1f406c2a7551}\RP12\A0000254.exe');
DeleteFile('c:\system volume information\_restore{76f49703-965e-4e1c-9b9b-1f406c2a7551}\RP12\A0000256.exe');
DeleteFile('c:\WINDOWS\system32\bpk.dat');
DeleteFile('c:\WINDOWS\system32\inst.dat');
DeleteFile('c:\WINDOWS\system32\pk.bin');
DeleteFile('c:\WINDOWS\system32\sircheckfile.dat');
DeleteFile('c:\documents and settings\Серега\application data\mousedriver.bat');
DeleteFile('c:\WINDOWS\system32\livefloat.zip');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.

Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

[url="http://virusinfo.info/showpost.php?p=493584&postcount=2"]Удалите в МВАМ[/url] все, [b]кроме[/b] [code]HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.

c:\program files\complus applications\mdw.dll (Spyware.Agent) -> No action taken.
c:\program files\complus applications\qt3.dll (Trojan.Agent) -> No action taken.
c:\program files\complus applications\repodbc.dll (Trojan.Agent) -> No action taken.[/code]

Карантин загрузил.
Все рекомендации выполнил.

лог мвам и virusinfo_syscheck.zip‎ повторите

Новые логи.

В логах все чисто?

Что с проблемой?

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]113[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\documents and settings\\серега\\application data\\kt3q2svd5.exe - [B]Trojan.Win32.Swisyn.bpat[/B] ( DrWEB: Trojan.MulDrop2.41871, BitDefender: Trojan.Generic.KD.359351, AVAST4: Win32:VB-LYG [Trj] )[*] c:\\documents and settings\\серега\\application data\\netprotdrvss.exe - [B]Trojan.Win32.Jorik.Buterat.sf[/B] ( DrWEB: BackDoor.Butirat.24, BitDefender: Trojan.Generic.KD.361425, NOD32: Win32/TrojanClicker.Agent.NII trojan, AVAST4: Win32:Buterat-DW [Trj] )[*] c:\\documents and settings\\серега\\application data\\netprotocol.exe - [B]Trojan.Win32.Jorik.Buterat.sf[/B] ( DrWEB: BackDoor.Butirat.24, BitDefender: Trojan.Generic.KD.361425, NOD32: Win32/TrojanClicker.Agent.NII trojan, AVAST4: Win32:Buterat-DW [Trj] )[*] c:\\documents and settings\\серега\\application data\\n2iz308a.exe - [B]Trojan.Win32.Swisyn.bpat[/B] ( DrWEB: Trojan.MulDrop2.41871, BitDefender: Trojan.Generic.KD.359351, AVAST4: Win32:VB-LYG [Trj] )[*] c:\\documents and settings\\серега\\application data\\od02g03da.exe - [B]Trojan.Win32.Swisyn.bpat[/B] ( DrWEB: Trojan.MulDrop2.41871, BitDefender: Trojan.Generic.KD.359351, AVAST4: Win32:VB-LYG [Trj] )[*] c:\\documents and settings\\серега\\application data\\p8nw6t5vy.exe - [B]Trojan.Win32.Swisyn.bpat[/B] ( DrWEB: Trojan.MulDrop2.41871, BitDefender: Trojan.Generic.KD.359351, AVAST4: Win32:VB-LYG [Trj] )[*] c:\\documents and settings\\серега\\application data\\4fhj.exe - [B]Trojan.Win32.VBKrypt.gust[/B] ( DrWEB: Trojan.DownLoader4.60934, BitDefender: Trojan.Generic.6781233, AVAST4: Win32:VB-WXJ [Trj] )[*] c:\\documents and settings\\серега\\application data\\9qus02crs.exe - [B]Trojan.Win32.Swisyn.bpat[/B] ( DrWEB: Trojan.MulDrop2.41871, BitDefender: Trojan.Generic.KD.359351, AVAST4: Win32:VB-LYG [Trj] )[*] c:\\documents and settings\\серега\\doctorweb\\quarantine\\hkoici08.exe - [B]HEUR:Trojan.Win32.Generic[/B] ( DrWEB: Trojan.DownLoader5.399, BitDefender: Gen:Variant.Strictor.3999, AVAST4: Win32:Adload-MI [Trj] )[*] c:\\documents and settings\\серега\\doctorweb\\quarantine\\nwcwks.dll - [B]Trojan.Win32.Inject.bgkf[/B] ( DrWEB: Trojan.PWS.Spy.12768, BitDefender: Trojan.Generic.6354103, AVAST4: Win32:Malware-gen )[*] c:\\documents and settings\\серега\\doctorweb\\quarantine\\regutils.dll - [B]Trojan.Win32.Small.cmc[/B] ( DrWEB: Trojan.Siggen2.28307, BitDefender: Trojan.Generic.5256372, AVAST4: Win32:Malware-gen )[*] c:\\documents and settings\\серега\\doctorweb\\quarantine\\vrtb.tmp - [B]Backdoor.Win32.Agent.bwey[/B] ( DrWEB: Trojan.DownLoader4.62449, BitDefender: Gen:Trojan.Heur.GZ.eCWbbye5eYki, AVAST4: Win32:Malware-gen )[*] c:\\windows\\system32\\ehevs8.exe - [B]Trojan-Spy.Win32.VB.coq[/B] ( DrWEB: Trojan.PWS.Spy.11891, BitDefender: Trojan.Generic.7452666, AVAST4: Win32:Malware-gen )[*] c:\\windows\\system32\\nkrfmjmzqjzbnjg4nerc.dll - [B]Trojan-Clicker.Win32.Casu.gku[/B] ( DrWEB: Trojan.Click1.63043, BitDefender: Trojan.Generic.KDV.372504, NOD32: Win32/TrojanDownloader.Boaxxe.AG trojan, AVAST4: Win32:Malware-gen )[*] c:\\windows\\system32\\nwcwks.dll - [B]Trojan.Win32.Inject.bgkf[/B] ( DrWEB: Trojan.PWS.Spy.12768, BitDefender: Trojan.Generic.6354103, AVAST4: Win32:Malware-gen )[/LIST][/LIST]
Рекомендации:
[LIST=1][*]Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли ![/LIST]