trojan horse downloader.delf.azz

Доброго времени суток. Такую вот пакость обнаружил и удалил мой антивирусник avg в системе. После обнаружения и успешного (надеюсь) удаления возникли подозрения, что есть еще что-то в системе. Попытался посмотреть инфо в интернете на предмет других вирусов, троянов и иже сними. Понял, что сам не разберусь. Подозрения мои подтверждаются. На пример, работают csrss.exe и winlogon.exe. В отличие от остальных программ и процессов, которые запущены на компьютере, и для которых в диспечере задач отображены кроме имени образа, загрузки цп и памяти также имя пользователя и описание, для этих двух процессов вместо последних пунктов пустота. По программе csrss нашел инфо, что это одна из программ, которые подменяют реальные windows процессы, на одном из сайтов нашел описание изменений, которые эта штука производит в реестре, сопоставил со своим реестром, частичное совпадение. Но к сожалению не нашел истинных (исходных значений). Есть еще несколько странных записей, очевидных моему "чайниковскому" взгляду, если понадобится, опишу подробнее.
Надеюсь на вашу помощь . С уважением.
P.S. Не удалось создать файл virusinfo syscheck по неизвестной мне причине (я его просто не нахожу в папке Log), поэтому третьим файлом прилагаю лог самой программы, надеюсь, что это поможет указать на мою ошибку при работе с программой.
P.P.S. При попытке активировать функцию avz guard также вылетает сообщение об ошибке.

Вы как запускали avz? Нужно переделать логи. Написано же, сначала распаковать в отдельную папку сам архив с avz. Потом нажимать правой кнопкой на avz.exe , нажать Run aS , выбрать админа , набрать пароль , нажать ОК.

Спасибо за быстрый ответ. Получилось. Прилагаю второй лог.

Вопрос по прежднему актуален.:)

выполните скрипт ...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Users\7B9C~1\AppData\Local\Temp\_uninstop.exe','');
QuarantineFile('avgwlntf.dll','');
DelBHO('{486D0362-657B-4771-B56D-AE29AA31B78B}');
QuarantineFile('C:\Windows\ausctv32a.dll','');
BC_QrSvc('Dpiomme');
QuarantineFile('C:\Windows\system32\QBIOSIo.dll','');
DeleteFile('C:\Windows\ausctv32a.dll');
DeleteFile('C:\Users\7B9C~1\AppData\Local\Temp\_uninstop.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил....
повторите логи ....

Сделано. :)

так не годится ....базы авз обновить !!!
логи сделать запустив от имени администратора ...

Не получается обновить базы. Вылетает ошибка загрузки файла с описанием обновления. :(

Сходи на сайт z-oleg.com. Скачай zip с базами, раззипуй в директорию base.

Смотрите. :)

Каковы мои дальнейшие действия?

пофиксите ...
[code]
O2 - BHO: Media Player Classic - {486D0362-657B-4771-B56D-AE29AA31B78B} - C:\Windows\ausctv32a.dll (file missing)
O4 - HKLM\..\Run: [outpost_uninst] C:\Users\7B9C~1\AppData\Local\Temp\_uninstop.exe /u
[/code]
выполните скрипт ...
[code]
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\windows\winbom.vbs','');
DelBHO('{486D0362-657B-4771-B56D-AE29AA31B78B}');
BC_DeleteSvc('Dpiomme');
DeleteFile('C:\Windows\ausctv32a.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил ...

[quote=V_Bond;207214]
ишлите карантин согласно приложения 3 правил ...[/quote]
только карантин или полный комплекс? и если комплекс, то базы надо поновой обновлять или рано еще?

пока только карантин ...

Готово, жду дальнейших указаний.

Офф: Старайся аккуратнее квотировать сообщения.

нужен файл c:\windows\SetWallPaper\SetWallPaper.exe + добавьте ещё файл winbom.vbs_ к архиву

только что запустил программу avz, чтобы отправить запрошеные вами файлы и обнаружил, что вместо пунктов меню файл, сервис и прочее - "надписи" такого вида: [?63?], [?547?] и так далее. Не подскажете, с чем это связано? Скачаю программу по новой.

[size="1"][color="#666686"][B][I]Добавлено через 7 минут[/I][/B][/color][/size]

Отправил запрошеные файлы.

[QUOTE=litp;207545]только что запустил программу avz, чтобы отправить запрошеные вами файлы и обнаружил, что вместо пунктов меню файл, сервис и прочее - "надписи" такого вида: [?63?], [?547?] и так далее. Не подскажете, с чем это связано?[/QUOTE]
Недоступна база локализации. Не из архива случайно запустили?

Нет, если дело в базах, тогда мой "косяк". Случайно перекинул папку с базами в какую-то другую - толи LOG, толи карантин. Машина - ноут, тачпад иногда не в меру чувствительный и случаются такие "приколы". Редко, но случаются.