Обширный троянчик

В общем трабл такой - врубаем комп, после загрузки системы запускаются два процесса Opera.exe (далее поясню), которые жрут 99% всех процессов, оставшийся один процент остаётся на передвижение мышки :D после вкючения интернета данные две оперы усиленно начинают качать несколько вирусняковых файлов (Аваст блокирует). Но я к этому привык и стал просто автоматом вырубать эти два процесса. Это ещё не всё, если же в мой весёлый комп врубить какую-либо флешку, то на неё автоматом неизвестно откуда записываются два файлика авторан, соответственно inf и exe, ну и естесственно при попытке открыть флешку с того-же хоста начинается закачка опять-таки вирусняка. Так я и жил непрерывной войной с этим вирусняком с месяц (мониторить на моём компе нечего, разве что тырить у меня курсовики), пока не заразил таким макором комп своего приятеля (флешку ему свою дал) и у него при запуске системы стали появляться два процесса iexplore.exe (потому как у меня по умолчанию броузер - опера, а у него - ИЕ) тут я решил всётаки побороть зловредного и натравил на него SDfix? как ни странно, но SDfix его комп вылечил. Тогда я решил и своего родимого выжить со своего компа, запустил SDfix, но не тут то было, при проверки процессов оный выдаёт траблу - "Насяльника, не ругайся, виртуальний дрявер становить не могу, Равшан виноват" и начит пишет Cannot find ///Fast Hardlock Driver далее не может установить файл HLVDD.dll. Ну нахрена ему виртуальный драйвер защиты??? :> Ладно, поставил извне - один хрен, всёравно не пашет.
Так что, дорогие камрады, треба ваша допомога.
Логи Хайджека и АВЗ (в двух вариантах) прилагаю.
Да, на момент составления логов два злосчастных процесса opera.exe были вырублены.

Как-то вы правила своеобразно прочитали...

Сознаюсь, рулезы не читал :wink2: исправлюсь....
А по теме что?

По теме: логи нужны в нормальном формате. Да, и важность своей темы не надо поднимать. У нас все равны в этом разделе.

[QUOTE=PavelA;207648]По теме: логи нужны в нормальном формате. Да, и важность своей темы не надо поднимать. У нас все равны в этом разделе.[/QUOTE]

Прошу прощения, в каком формате? - в аштемеэле ваш форум файлы не воспринимает, пришлось дописать расширение .тхт((( А важность не поднимал... вроде бы... даже не знаю как это сделать...

Почитайте внимательно [url]http://virusinfo.info/showthread.php?t=1235[/url] сразу все поймете;)

Ошибку понял, я ж говорил, исправлюсь))
Логи во вложении.

C:\Documents and Settings\Администратор\Рабочий стол\ОЦП\Radmin\Famatech.Radmin.Server.3.0.Trial.Stop.and.Tray.Icon.Remove.Patch.v1.0.zip -
[b]Backdoor.Win32.RAdmin.ab [/b] удалите сами.

[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]

Отключите востановление системы.
.[url=http://virusinfo.info/showthread.php?t=7239]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/url]
[CODE]begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\system32\bdmreg.exe','');
QuarantineFile('C:\WINDOWS\system32\spools.exe','');
QuarantineFile('C:\WINDOWS\system32\mmsvc32.exe','');
QuarantineFile('C:\Program Files\Common Files\Totem Shared\Uninstall0001\upd.exe','');
QuarantineFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\catchme.sys','');
QuarantineFile('C:\Program Files\Opera\vxmservices.dll','');
QuarantineFile('e:\stp\stp.exe','');
DeleteFile('C:\WINDOWS\system32\mmsvc32.exe');
DeleteFile('C:\WINDOWS\system32\spools.exe');
DeleteFile('C:\WINDOWS\system32\bdmreg.exe');
DeleteFile('C:\System Volume Information\_restore{E0DA04F5-4534-430E-ACF0-689272306C87}\RP145\A0061068.dll');
DeleteFile('C:\System Volume Information\_restore{E0DA04F5-4534-430E-ACF0-689272306C87}\RP168\A0069865.dll');
DeleteFile('C:\System Volume Information\_restore{E0DA04F5-4534-430E-ACF0-689272306C87}\RP174\A0072664.dll');
DeleteFile('C:\System Volume Information\_restore{E0DA04F5-4534-430E-ACF0-689272306C87}\RP182\A0075515.dll');
DeleteFile('C:\System Volume Information\_restore{E0DA04F5-4534-430E-ACF0-689272306C87}\RP182\A0075516.exe');
BC_ImportALL;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно [b]приложения 3 [url=http://virusinfo.info/showthread.php?t=1235]правил [/url][/b].
Загружать по ссылке: [url]http://virusinfo.info/upload_virus.php?tid=20566[/url]

[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]

Повторите логи

Без обид. Немного откомментирую с вашего позволения.
Радмин у далять не буду, и так с огромным трудом нашёл с работающими ключами, да и пользуюсь им уже года полтора. Ну а stp... разве никто не знает этот безобидный проигрыватель, которому сто лет в обед?... стоит в загрузке, никому не мешает... А вот upd.exe в системе удалял неоднократно, инет врубаю - заново появляется.
Но всёравно, огромное спасибо за проявленную помощь и понимание, сейчас выполню.

Офф. Порадовало название файлика в темпах - возьмименя.сис(catchme.sys)

Оффтоп: а чего Радмин искать-то? Он, оказывается, совсем недорого стоит. Я вот уже четвёртый купил.

Проигрыватель, судя по всему, действительно никто здесь не знает, иначе он бы уже был в базе безопасных. Не попадался.

И так, последний отчёт - комп работает нормально, усё в порядку))) Всем огромное спасибо!
Последние логи прилагаю.
Вот только с карантином фигня - залить не могу, упорно твердит, что я не указал ссылку на тему... питон! Ведь вставляю же "хттп://virusinfo.info/showthread.php?p=208315" ну естесственно хттп - ин инглиш

magent.dll - AdWare....
выполните скрипт ...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Program Files\Common Files\Target Marketing Agency\TMAgent\tmagent.dll','');
DeleteFile('C:\Program Files\Common Files\Target Marketing Agency\TMAgent\tmagent.dll');
DelBHO('{35A6E2B1-27A9-47D2-913C-559E1EF1D034}');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил ...
повторите virusinfo_syscheck.zip ...

[QUOTE=Revan1;208567]Вот только с карантином фигня - залить не могу, упорно твердит, что я не указал ссылку на тему... питон! Ведь вставляю же "хттп://virusinfo.info/showthread.php?p=208315" ну естесственно хттп - ин инглиш[/QUOTE]
Красную ссылку над темой нажмите - всё само вставится.

Ок.

Карантин отправил, только в нём особо так ничего нет, скрипты хьюлета-сканера и некрякнутая сохранёнка Ricochet

больше не видно ничего подозрительного ....

Огромное спасибо за помощь!

Нам интересно [URL="http://virusinfo.info/showthread.php?t=19883"]Ваше мнение [/URL]о нашем ресурсе. Будем очень благодарны за отзыв, он может помочь нам улучшить ресурс.

Советуем прочитать [URL="http://security-advisory.virusinfo.info/"]электронную книгу [/URL]"Безопасный Интернет. Универсальная защита для Windows ME - Vista".

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]27[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\mmsvc32.exe - [B]Trojan.Win32.Delf.bak[/B] (DrWEB: Trojan.PWS.Banker.10545)[*] c:\\windows\\system32\\spools.exe - [B]Net-Worm.Win32.Nanspy.ab[/B] (DrWEB: Trojan.MulDrop.11816)[/LIST][/LIST]