Троянов немерено

Здравствуйте!
Проблема такая: утром CureIt! обнаружил много троянов. Вылечить удалось не все. Перед диагностикой стабильно находил Trojan.Spambot.3434, а в безопасном режиме не находит ничего.

На некоторые сайты и почтовые серверы зайти невозможно. При открытии сайта VirusInfo появляется надпись: "Warning! your computer contains various signs of viruses and malware programs presence. Your system requires immediate anti viruses check! System Security will perform a quick and free scanning of your PC for viruses and malicious programs", а потом предлагает его установить. Но что-то меня останавливает... >:(

Логи прилагаю (syscheck у нас не создается). Насколько я понимаю, много файлов не удалось отправить в карантин.

Что делать? :?

Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\spria.dll','');
QuarantineFile('C:\WINDOWS\System32\drivers\fc78c839.sys','');
QuarantineFile('C:\WINDOWS\system32\65285ef862e8bf1f53fe5d49b73ee7d6.sys','');
QuarantineFile('C:\mnbfpht.exe','');
QuarantineFile('C:\Documents and Settings\Patrikeyev Artem\Local Settings\Temporary Internet Files\Content.IE5\QHW3SNEF\islre[1].htm','');
QuarantineFile('C:\Windows\system32\drivers\UACigiltlwb.sys','');
QuarantineFile('C:\Windows\system32\UACbcoecypu.dll','');
DeleteFile('C:\WINDOWS\system32\spria.dll');
DeleteFile('C:\WINDOWS\System32\drivers\fc78c839.sys');
DeleteFile('C:\WINDOWS\system32\65285ef862e8bf1f53fe5d49b73ee7d6.sys');
DeleteFile('C:\mnbfpht.exe');
DeleteFile('C:\Documents and Settings\Patrikeyev Artem\Local Settings\Temporary Internet Files\Content.IE5\QHW3SNEF\islre[1].htm');
DeleteFile('C.\Windows\system32\drivers\UACigiltlwb.sys');
DeleteFile('C:\Windows\system32\UACbcoecypu.dll');
DelCLSID('{ada8c222-95d2-47b5-950b-aebc0a508839}');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/CODE]

После перезагрузки:
- [url="http://virusinfo.info/showthread.php?t=10025"] Очистите [/url]темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным [B]только Internet Explorer[/B]. Если он не запущен - запустите!!!
- Сделайте повторные логи
[CODE]virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log [/CODE]
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.

Спасибо.
Вроде бы все сделали. Только при попытке зайти на VirusInfo почему-то сначала появляется надпись looking up stabilityred.com, а потом появляется дополнительное окно с адресом [URL]http://windowsclick.com/avredirector.php[/URL] . Что бы это могло?..

И еще глупый вопрос: что означает
[quote]Код:
virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log[/quote]
У нас avz, как мы уже писали, не создает архив virusinfo_syscheck. :>
Карантин отправили.

[QUOTE]И еще глупый вопрос: что означает[/QUOTE]
[quote]
virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log[/quote]
Список логов, которые нужно эагрузить - больше ничего.

[QUOTE=Morwane;349591]
У нас avz, как мы уже писали, не создает архив virusinfo_syscheck. :>
[/QUOTE]Вы получете сообщение об ошибке? Или какое-нибудь другое сообщение? Или крэш АВЗ?

Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
StopService('fc78c839');
StopService('65285ef862e8bf1f53fe5d49b73ee7d6');
QuarantineFile('C:\WINDOWS\system32\65285ef862e8bf1f53fe5d49b73ee7d6.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\UACigiltlwb.sys','');
QuarantineFile('C:\WINDOWS\system32\UACbcoecypu.dll','');
DeleteService('fc78c839');
DeleteService('65285ef862e8bf1f53fe5d49b73ee7d6');
DeleteFile('C:\WINDOWS\System32\drivers\fc78c839.sys');
DeleteFile('C:\WINDOWS\system32\65285ef862e8bf1f53fe5d49b73ee7d6.sys');
DeleteFile('C:\WINDOWS\system32\drivers\UACigiltlwb.sys');
DeleteFile('C:\WINDOWS\\system32\UACbcoecypu.dll');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('fc78c839');
BC_DeleteSvc('65285ef862e8bf1f53fe5d49b73ee7d6');
BC_Activate;
RebootWindows(true);
end.
[/CODE]

После перезагрузки:
- [url="http://virusinfo.info/showthread.php?t=10025"] Очистите [/url]темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным [B]только Internet Explorer[/B]. Если он не запущен - запустите!!!
- Сделайте повторные логи
[CODE]virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log [/CODE]
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.

Сделано.
По-прежнему повторяются эпизодические проблемы с авторизацией на некоторых сайтах. И такое впечатление, что ноутбук подтормаживает при работе в Интернете.

avz у нас англоязычный (поскольку Windows тоже на английском языке). Мы выполняем стандартные скрипты №3 (Healing/Quarantine and Standard System Analysis) и №4 (Collecting not recognized and suspicious files). В итоге создается три зипованные папки: virusinfo_cure, virusinfo_files_TOSHIBA-USER и virusinfo_syscure.

Логи прилагаем.

я бы деинсталировал:
c:\program files\common files\aol\topspeed\2.0\aoltpspd.exe

C:\Program Files\QuickTime\qttask.exe

да и всё чем не пользуетесь -удалить.



как у вас в avz на 4 сместилось не пойму, в этом ваша ошибка. надо 2 и 3 выполнять ;)

"Advanced System Investigation" & "Healing/Quarantine and Standard System Analysis"

То есть сначала нужно выполнять скрипт №3, а потом №2, так? А то в прошлый раз спрашивали неоднократно, никто так и не ответил. :unknw:

А как лучше удалить c:\program files\common files\aol\topspeed\2.0\aoltpspd.exe? И что это вообще такое? Как его идентифицировать в "установке и удалении программ"?

в правилах же написано последовательность исполнения, зачем спрашивать ? Перечитайте внимательно, можете на английском :)
ищите что-то на подобие AOL® TopSpeed- приблуда от AOL сомнительной полезности.

[quote]ищите что-то наподобие AOL® TopSpeed- приблуда от AOL сомнительной полезности[/quote]
У нас нашлось вот что:
AOL Coach Version 2.0
AOL Connectivity Services
AOL Spyware Protection
AOL You've Got Pictures Screensaver :O
Кто это такие, интересно? ;)

[quote=Morwane;349657]У нас нашлось вот что:
AOL Coach Version 2.0
AOL Connectivity Services
AOL Spyware Protection
AOL You've Got Pictures Screensaver :O
Кто это такие, интересно? ;)[/quote]

всем выдать чёрную метку ;)
есть в русском языке слово: хлам - очень подходит:>

можно в Google поискать, если интересно ;)

Ага, понятно.
А как там наш карантин? :>

[QUOTE=Morwane;349878]А как там наш карантин? :>[/QUOTE]Не наш, а Ваш ©. Ничего зловредного не найдено.

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]22[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]