Заражение-2

Уже несколько дней борюсь с вирусами на одной из машин, ничего не могу добиться, вновь появляются, вообщем, прикладываю логи и прошу хелпа )

1.В avz [URL="http://virusinfo.info/showthread.php?t=7239"]выполнить скрипт[/URL]:
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\Program Files\Common Files\fjOs0r.dll','');
QuarantineFile('C:\WINDOWS\system32\fydoor0.dll','');
QuarantineFile('C:\WINDOWS\system32\55550.dll','');
QuarantineFile('C:\WINDOWS\system32\zxdoor0.dll','');
QuarantineFile('C:\WINDOWS\system32\wodoor0.dll','');
QuarantineFile('C:\WINDOWS\system32\wldoor0.dll','');
QuarantineFile('C:\WINDOWS\system32\wgdoor0.dll','');
QuarantineFile('C:\WINDOWS\system32\wddoor0.dll','');
QuarantineFile('C:\WINDOWS\system32\tldoor0.dll','');
QuarantineFile('C:\WINDOWS\system32\rxdoor0.dll','');
QuarantineFile('C:\WINDOWS\system32\qjdoor0.dll','');
QuarantineFile('C:\WINDOWS\system32\qhdoor0.dll','');
QuarantineFile('C:\WINDOWS\system32\mydoor0.dll','');
QuarantineFile('C:\WINDOWS\system32\mhdoor0.dll','');
QuarantineFile('C:\WINDOWS\system32\dh3oor0.dll','');
QuarantineFile('C:\WINDOWS\system32\dadoor0.dll','');
QuarantineFile('C:\WINDOWS\system32\csdoor0.dll','');
QuarantineFile('C:\WINDOWS\system32\cqdoor0.dll','');
QuarantineFile('C:\Program Files\Internet Explorer\OnlO0r.dll','');
DeleteFile('C:\Program Files\Common Files\fjOs0r.dll');
DeleteFile('C:\WINDOWS\system32\fydoor0.dll');
DeleteFile('C:\WINDOWS\system32\55550.dll');
DeleteFile('C:\WINDOWS\system32\zxdoor0.dll');
DeleteFile('C:\WINDOWS\system32\wodoor0.dll');
DeleteFile('C:\WINDOWS\system32\wldoor0.dll');
DeleteFile('C:\WINDOWS\system32\wgdoor0.dll');
DeleteFile('C:\WINDOWS\system32\tldoor0.dll');
DeleteFile('C:\WINDOWS\system32\rxdoor0.dll');
DeleteFile('C:\WINDOWS\system32\qjdoor0.dll');
DeleteFile('C:\WINDOWS\system32\qhdoor0.dll');
DeleteFile('C:\WINDOWS\system32\mydoor0.dll');
DeleteFile('C:\WINDOWS\system32\mhdoor0.dll');
DeleteFile('C:\WINDOWS\system32\dh3oor0.dll');
DeleteFile('C:\WINDOWS\system32\dadoor0.dll');
DeleteFile('C:\WINDOWS\system32\csdoor0.dll');
DeleteFile('C:\WINDOWS\system32\cqdoor0.dll');
DeleteFile('C:\Program Files\Internet Explorer\OnlO0r.dll');
BC_ImportALL;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
[/CODE]
Компьютер перезагрузится.

2.[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксить[/URL] в HiJackThis
[CODE]
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O23 - Service: ICF - Unknown owner - C:\WINDOWS\system32\svchost.exe:exe.exe (file missing)
[/CODE]

3.Выслать карантин согласно приложению 3 [URL="http://virusinfo.info/showthread.php?t=1235"]правил[/URL]

4.Ваши настройки:
[CODE]
O17 - HKLM\System\CCS\Services\Tcpip\..\{6ED0259A-BECD-41A8-B792-27A93FC443FE}: NameServer = 90.0.0.1
[/CODE]

5.Повторить логи.

пофиксите ...
[code]
O2 - BHO: (no name) - {C2626E66-D21B-E628-C1DF-1DACCFA36ED2} - C:\Program Files\Common Files\fjOs0r.dl
[/code]
выполните скрипт ...
[code]
begin
BC_DeleteSvc('ICF');
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил...
повторите логи

карантин выслал, логи скоро тоже вышлю, как провериться

итак, новые логи...

выполните скрипт...
[code]
begin
QuarantineFile('C:\WINDOWS\system32\wddoor0.dll','');
DeleteFile('C:\WINDOWS\system32\wddoor0.dll');
DeleteFile('C:\WINDOWS\system32\M1.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
повторите логи...

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]23[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\documents and settings\\user\\doctorweb\\quarantine\\fydoor0.dll - [B]Trojan-GameThief.Win32.OnLineGames.rxy[/B] (DrWEB: Trojan.PWS.Wsgame.1854)[*] c:\\program files\\common files\\fjos0r.dll - [B]Trojan-PSW.Win32.Delf.afe[/B] (DrWEB: Trojan.PWS.Qqpass.1484)[*] c:\\program files\\handycache\\cache\\204.13.69.178\\images\\hide\\m1.exe - [B]Trojan-PSW.Win32.Agent.sw[/B] (DrWEB: Trojan.PWS.Qqpass.1693)[*] c:\\program files\\handycache\\cache\\74.222.3.148\\images\\hide\\m1.exe - [B]Worm.Win32.AutoRun.amx[/B] (DrWEB: Win32.HLLW.Autoruner.788)[*] c:\\program files\\internet explorer\\onlo0r.bak - [B]Trojan-PSW.Win32.Agent.sw[/B] (DrWEB: Trojan.PWS.Qqpass.1693)[*] c:\\program files\\internet explorer\\onlo0r.dll - [B]Trojan-PSW.Win32.Agent.sw[/B] (DrWEB: Trojan.PWS.Qqpass.1500)[*] c:\\windows\\system32\\cqdoor0.dll - [B]Trojan-GameThief.Win32.OnLineGames.gky[/B] (DrWEB: Trojan.PWS.Wsgame.1851)[*] c:\\windows\\system32\\csdoor0.dll - [B]Trojan-GameThief.Win32.OnLineGames.rxy[/B] (DrWEB: Trojan.PWS.Wsgame.1852)[*] c:\\windows\\system32\\dadoor0.dll - [B]Trojan-GameThief.Win32.OnLineGames.rxy[/B] (DrWEB: Trojan.PWS.Wsgame.1853)[*] c:\\windows\\system32\\dh3oor0.dll - [B]Trojan-GameThief.Win32.OnLineGames.rxy[/B] (DrWEB: Trojan.PWS.Wsgame.1644)[*] c:\\windows\\system32\\fydoor0.dll - [B]Trojan-GameThief.Win32.OnLineGames.rxy[/B] (DrWEB: Trojan.PWS.Wsgame.1855)[*] c:\\windows\\system32\\mhdoor0.dll - [B]Trojan-GameThief.Win32.OnLineGames.rxy[/B] (DrWEB: Trojan.PWS.Wsgame.1856)[*] c:\\windows\\system32\\mydoor0.dll - [B]Trojan-GameThief.Win32.OnLineGames.rxy[/B] (DrWEB: Trojan.PWS.Wsgame.1862)[*] c:\\windows\\system32\\qhdoor0.dll - [B]Trojan-GameThief.Win32.OnLineGames.rxy[/B] (DrWEB: Trojan.PWS.Wsgame.1857)[*] c:\\windows\\system32\\qjdoor0.dll - [B]Trojan-GameThief.Win32.OnLineGames.rxy[/B] (DrWEB: Trojan.PWS.Wsgame.1863)[*] c:\\windows\\system32\\rxdoor0.dll - [B]Trojan-GameThief.Win32.OnLineGames.rxy[/B] (DrWEB: Trojan.PWS.Wsgame.1864)[*] c:\\windows\\system32\\tldoor0.dll - [B]Trojan-GameThief.Win32.OnLineGames.rxy[/B] (DrWEB: Trojan.PWS.Wsgame.1865)[*] c:\\windows\\system32\\wddoor0.dll - [B]Trojan-GameThief.Win32.OnLineGames.rxy[/B] (DrWEB: Trojan.PWS.Wsgame.1858)[*] c:\\windows\\system32\\wgdoor0.dll - [B]Trojan-Downloader.Win32.Agent.eqv[/B] (DrWEB: Trojan.PWS.Wsgame.1866)[*] c:\\windows\\system32\\wldoor0.dll - [B]Trojan-GameThief.Win32.OnLineGames.rxy[/B] (DrWEB: Trojan.PWS.Wsgame.1859)[*] c:\\windows\\system32\\wodoor0.dll - [B]Trojan-GameThief.Win32.OnLineGames.rxy[/B] (DrWEB: Trojan.PWS.Wsgame.1860)[*] c:\\windows\\system32\\zxdoor0.dll - [B]Trojan-GameThief.Win32.OnLineGames.rxy[/B] (DrWEB: Trojan.PWS.Wsgame.1861)[*] c:\\windows\\system32\\55550.dll - [B]Trojan-GameThief.Win32.OnLineGames.glq[/B] (DrWEB: Trojan.PWS.Wsgame.1850)[/LIST][/LIST]