трояны и прочие

Добрый день!
Помогите, пожалуйста, почистить комп:
были жалобы на постоянное выключение медленную работу, не был установлен никакой антивирус вообще.
после сканирования nod нашел 72 подозрительных файла
что-то удалил, что-то я почистила вручную...
некоторые файлы (windows\system32\spoolsv.exe windows\system32\taskmgr.exe windows\system32\dllcache\alg.exe windows\system32\dllcache\ctfmon.exe windows\system32\dllcache\taskmgr.exe) удалять не рискнула, так как вроде системные и лежат на своих местах.
сделаны пока только логи AVZ (после чистки в безопасном режиме)
до HiJackThis добраться не успела - может посмотрите пока что есть?
заранее благодарю

1.[url=http://virusinfo.info/showthread.php?t=7239]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/url]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\system32\asycfil.dll','');
QuarantineFile('c:\windows\system32\svchost.exe:ext.exe:$DATA','');
QuarantineFile('C:\WINDOWS\system32\i386kd.exe','');
QuarantineFile('C:\DOCUME~1\86C2~1\LOCALS~1\Temp\winlogon.exe','');
QuarantineFile('C:\WINDOWS\system32\sрoоlsv.exe','');
QuarantineFile('C:\WINDOWS\System32\drivers\protect.sys','');
QuarantineFile('C:\WINDOWS\System32\drivers\Duf54.sys','');
QuarantineFile('C:\WINDOWS\system32\winactived.bat','');
DeleteFile('C:\WINDOWS\System32\drivers\Duf54.sys');
DeleteFile('C:\WINDOWS\System32\drivers\protect.sys');
DeleteFile('C:\WINDOWS\system32\sрoоlsv.exe');
DeleteFile('C:\DOCUME~1\86C2~1\LOCALS~1\Temp\winlogon.exe');
DeleteFile('c:\windows\system32\svchost.exe:ext.exe:$DATA');
DeleteFile('C:\WINDOWS\system32\asycfil.dll');
DeleteFile('C:\WINDOWS\system32\i386kd.exe');
DeleteFile('C:\WINDOWS\system32\winactived.bat');
BC_ImportAll;
BC_DeleteSvc('protect');
BC_DeleteSvc('Duf54');
BC_DeleteSvc('FCI');
BC_DeleteSvc('DefLib');
BC_DeleteSvc('ICF');
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно [b]приложения 3 [url=http://virusinfo.info/showthread.php?t=1235]правил [/url][/b].
Загружать по ссылке: [url]http://virusinfo.info/upload_virus.php?tid=18773[/url]

2. Повторите логи

В карантине пусто-ничего не попало.
Правда часть подозрительных файлов я удалила сама сразу же после вчерашних логов.
но вот этот "товарищ" C:\WINDOWS\System32\drivers\protect.sys точно был жив и здоров. почему не попадает в карантин-не знаю.
при загрузке виндовса нод на него заругался - Спам-троян, но сделать ничего не смог
в автозагрузке висел некий spoolsv.exe, после того как его отключила и перезагрузилась нод смог прибить protect.sys
но...
логи AVZ в обычном режиме не делаются - комп уходит на перезагрузку где-то в середине.
посмотрите, пожалуйста, что получилось

Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
StopService('Duf54');
SetServiceStart('Duf54', 4);
BC_DeleteSvc('Duf54');
BC_DeleteSvc('protect');
BC_DeleteSvc('FCI');
BC_Activate;
RebootWindows(true);
end.[/code]
Сделайте новый лог syscheck.
Пришлите из карантина AVZ файл C:\WINDOWS\system32\asycfil.dll

файл C:\WINDOWS\system32\sрoоlsv.exe создается снова и снова (не считая оригинального от microsoft) и нод его ловит и так по кругу
syscheck это скрипт номер 2 или 3?

вот лог

Файл сохранён как080228_054352_2008-02-28_47c69e780f5fc.zipРазмер файла82417MD5a1ac11a3e203e8741367b738b24ac9c1[LEFT]это сегодняшний карантин
как из него прислать C:\WINDOWS\system32\asycfil.dll? [/LEFT]

Выполните такой скрипт:
[code]
begin
ClearQuarantine;
RegKeyIntParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Hardware Profiles\0001\System\CurrentControlSet\Enum\ROOT\LEGACY_Duf54\0000', 'CSConfigFlags', '1');
BC_QrFile('C:\WINDOWS\System32\drivers\Duf54.sys');
BC_DeleteSvc('Duf54');
BC_DeleteFile('C:\WINDOWS\System32\drivers\Duf54.sys');
BC_DeleteFile('C:\WINDOWS\system32\asycfil.dll');
BC_LogFile(GetAVZDirectory + 'boot_clr.log');
BC_Activate;
RebootWindows(true);
end.[/code]
Приложите сюда файл [b]boot_clr.log[/b] из папки с AVZ.

[size="1"][color="#666686"][B][I]Добавлено через 58 секунд[/I][/B][/color][/size]

P.S.: asycfil.dll - [b]Trojan.Win32.Pakes.cdw[/b]

скрипт выполнился без ошибок, но после перезагрузки виндовс не смог запуститься ни в обычном, ни в безопасном режиме
пришлось загрузить последнюю работоспособную конфигурацию:(
файла [B]boot_clr.log в папке AVZ нет[/B]
может этот файлик asycfil.dll просто вручную удалить?
он жив-себе-здоров пока, лежит в прежнем месте

Этот удалите, конечно, он зловредный, только проблема не в нем.
Если есть возможность загрузиться в консоль восстановления или LiveCD, надо найти и удалить [b]C:\WINDOWS\System32\drivers\Duf54.sys[/b].

честно говоря я не знаю, что значит "загрузиться в консоль"
загрузочного диска в виндовсом тоже под рукой нет
как-то еще можно его удалить?
и что он делает-то, этот вирус?

Давайте еще вот такой скрипт попробуем:
[code]
begin
SearchRootkit(false, true);
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\Duf54', 'Start');
BC_QrFile('C:\WINDOWS\System32\drivers\Duf54.sys');
BC_DeleteSvc('Duf54');
BC_DeleteFile('C:\WINDOWS\System32\drivers\Duf54.sys');
BC_DeleteFile('C:\WINDOWS\system32\asycfil.dll');
BC_Activate;
RebootWindows(true);
end.[/code]
и новый лог syscheck.
Если не поможет, придется применять тяжелую артиллерию ;)

так.
есть диск с виндовсом
могу войти в консоль восстановления.
но поскольку вижу ее первый раз, возникает совершенно глупый вопрос:
что надо сделать, чтоб удалить там файл этот зловредный?
там командная строка с\windows_
что писать далее?
(только не смейтесь, я правда не знаю...)
сейчас попробую последний скрипт

В консоли надо набрать такие команды:
[b]cd system32\drivers
del Duf54.sys
exit[/b]

[size="1"][color="#666686"][B][I]Добавлено через 35 секунд[/I][/B][/color][/size]

После каждой давить Enter.

после c\windows тоже enter или прямо продолжать писать?
скрипт вогнал комп в ступор
вот лог

[b]C:\WINDOWS\>[/b] в начале командной строки - это "приглашение", т.е. сразу вводите команду. Приглашение информирует о том, в каком каталоге мы сейчас находимся, т.е. после первой команды оно должно принять вид:
[b]C:\WINDOWS\system32\drivers\>[/b]

[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]

Скрипт не помог, так что вся надежда на вас и консольные команды ;)

спасибо:)
информатика-то в институте была давно-о-о...
завтра буду пробовать
кстати, а тяжелая артиллерия это что? переустановка системы?

Нет, это IceSword или Rootkit Unhooker :)

:)
скачала на всякий случай и ту и другую...
в readme к IceSword обнадеживающая надпись типа "люди должны использовать эту утилиту на свой страх и риск":)

в Rootkit Unhooker - нужно было написать что-то пострашнее .... ;)