WinAvXX.exe дубль 2

Нашёл сходную тему, но в моём случае ситация позапущенней. Вот только что появился ещё один раздражающий эффект - каждые полминуты страница становиться неактивной и если печатать в это время то и не заметишь, что буквы на странице не появляються...
вместо winavxx.exe u printer.exe появляються winter.exe proper.exe итд. + иногда бешенно летит входящий траффик, когда ничего не закачиваеться.
пс: заранее спасибо! :)

edit: прошу прощения за нубство, не получаеться прикрепить логи, прикреплял при создании темы и при попытке редактировния, не даёт...

в статистике вложений они отображались как загруженные и при повторном действии выдавалась ошибка загрузки

выполните скрипт ....
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\system32\proper.exe','');
QuarantineFile('C:\WINDOWS\system32\winter.exe','');
QuarantineFile('C:\WINDOWS\system32\sulimo.dat','');
QuarantineFile('C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\autos.exe','');
QuarantineFile('C:\WINDOWS\xlavba8.exe','');
QuarantineFile('C:\WINDOWS\wesre.exe ','');
QuarantineFile('C:\WINDOWS\system32\bronto.dll','');
DeleteFile('C:\WINDOWS\system32\sulimo.dat');
ClearHostsFile;
BC_ImportAll;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил ...

архив послал

[b]Trojan-Downloader.Win32.Wixud.i[/b] c:\windows\xlavba8.exe
[b]Trojan-Spy.Win32.Keyloger.rp[/b] C:\WINDOWS\wesre.exe
[b]Backdoor.Win32.Small.cls[/b] C:\WINDOWS\system32\bronto.dll
[b]Trojan.Win32.Qhost.ue[/b] C:\WINDOWS\system32\proper.exe
[b]Trojan.Win32.Qhost.ue[/b] C:\WINDOWS\system32\winter.exe
[b]not-a-virus:Hoax.Win32.Renos.lq[/b] -C:\WINDOWS\system32\sulimo.dat

выполните скрипт ..
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('C:\WINDOWS\system32\proper.exe');
DeleteFile('C:\WINDOWS\system32\winter.exe');
DeleteFile('C:\WINDOWS\system32\sulimo.dat');
DeleteFile('C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\autos.exe');
DeleteFile('C:\WINDOWS\xlavba8.exe');
DeleteFile('C:\WINDOWS\wesre.exe ');
DeleteFile('C:\WINDOWS\system32\bronto.dll');
DeleteFile('C:\WINDOWS\system32\sulimo.dat');
BC_ImportAll;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
[/code]
повторите логи...

вот новые логи
кстати, после перезагрузки домашняя страница каждый раз изменяеться на гугел.ком

Сначала пофиксьте в HiJackThis:
[code]
O4 - HKLM\..\Run: [Undefined] C:\WINDOWS\system32\winter.exe
O4 - HKCU\..\Run: [Undefined] C:\WINDOWS\system32\winter.exe
O4 - Startup: infos.exe
O4 - Global Startup: autos.exe
O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
[/code]
Затем, не перегружаясь, выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
ClearHostsFile;
QuarantineFile('C:\WINDOWS\system32\bronto.dll','');
QuarantineFile('C:\WINDOWS\system32\proper.exe','');
QuarantineFile('C:\WINDOWS\system32\winter.exe','');
QuarantineFile('C:\Documents and Settings\A-Bode\Главное меню\Программы\Автозагрузка\infos.exe','');
DeleteFile('C:\Documents and Settings\A-Bode\Главное меню\Программы\Автозагрузка\infos.exe');
DeleteFile('C:\WINDOWS\system32\winter.exe');
DeleteFile('C:\WINDOWS\system32\proper.exe');
DeleteFile('C:\WINDOWS\system32\bronto.dll');
BC_ImportAll;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
[/code]
Затем повторите лог...

...

практически чисто ..... осталось прибрать мусор ...
выполните скрипт ...
[code]
begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
DelCLSID('D27987B8-7244-4DE0-AE10-39B826B492F1');
DeleteFile('C:\WINDOWS\system32\bronto.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
повторите лог HijackThis

выполнил
прикрепляю новый лог Hijack + логи avz, так как проблема осталась и даже переросла в более неприятную форму

выполните скрипт ...
[code]
begin
ExecuteRepair(1);
ExecuteRepair(5);
ExecuteRepair(6);
ExecuteRepair(8);
ExecuteRepair(9);
ExecuteRepair(16);
RebootWindows(true);
end.
[/code]
...
отключите Восстановление системы ....
не вижу никаких проблем ...

отключение системы как и описывалось в подобной теме, невозможно (по крайней мере известными мне способами, мб через реестр можно)

скрипт ... сначала выполните ...

уже -)

[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]

при поверхностном осмотре все негативные эффекты исчезли
Огромное вам Спасибо! дайте ссылку, где поставить пару жирных плюсиков вам в рейтинг =)))

Вы можете нас отблагодарить, [URL="http://www.virusinfo.info/showthread.php?t=3519"]оказав нам помощь в сборе базы безопасных файлов[/URL]. Мы будем Вам очень благодарны!

Удачи!

отправил :) надеюсь, помог
хотя несколько раз во время скрипта выдавал: [SIZE=2][COLOR=#ff0000]
Ошибка карантина файла, попытка прямого чтения (System)
Карантин с использованием прямого чтения - ошибка
[/COLOR][/SIZE]

[size="1"][color="#666686"][B][I]Добавлено через 3 минуты[/I][/B][/color][/size]

хотелось бы также проконсультироваться, как сделать чтобы не загружались при включении в диспетчере такие процессы как spoolsv.exe wdfmgr.exe и NVSVC32.exe, ибо считаю их малозначительными (поправьте, если не прав)

Это системные процессы

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]22[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\documents and settings\\all users\\главное меню\\программы\\автозагрузка\\autos.exe - [B]Trojan.Win32.Qhost.ue[/B] (DrWEB: Trojan.Fakealert.365)[*] c:\\windows\\system32\\bronto.dll - [B]Backdoor.Win32.Small.cls[/B] (DrWEB: Trojan.QuerySpy)[*] c:\\windows\\system32\\proper.exe - [B]Trojan.Win32.Qhost.ue[/B] (DrWEB: Trojan.Fakealert.365)[*] c:\\windows\\system32\\sulimo.dat - [B]Hoax.Win32.Renos.lq[/B] (DrWEB: Trojan.Fakealert.357)[*] c:\\windows\\system32\\winter.exe - [B]Trojan.Win32.Qhost.ue[/B] (DrWEB: Trojan.Fakealert.365)[*] c:\\windows\\wesre.exe - [B]Trojan-Spy.Win32.KeyLogger.rp[/B] (DrWEB: BackDoor.Bulknet)[*] c:\\windows\\xlavba8.exe - [B]Trojan-Downloader.Win32.Wixud.i[/B] (DrWEB: Trojan.LowZones.695)[/LIST][/LIST]