помогите избавиться от трояна

Часто выскакивают ошибки. Висят подозрительные процессы.
все сделал по инструкции.
CureIt нашел 4 файла и удалял их.
Процессы остались.

virusinfo_cure.zip из вложений убрать! Нужен файл virusinfo_[B]sys[/B]cure.zip

Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\regedit.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-8942275032-1420502524-989085791-0986\csvcs.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\systemntmi.sys','');
DeleteService('systemntmi');
QuarantineFile('C:\WINDOWS\system32\drivers\nicsk32.sys','');
DeleteService('nicsk32');
QuarantineFile('C:\WINDOWS\system32\drivers\i386si.sys','');
DeleteService('i386si');
QuarantineFile('C:\WINDOWS\system32\drivers\ati64si.sys','');
DeleteService('ati64si');
QuarantineFile('C:\WINDOWS\system32\drivers\acpi32.sys','');
DeleteService('acpi32');
SetServiceStart('netsik', 4);
DeleteService('netsik');
QuarantineFile('C:\WINDOWS\system32\drivers\netsik.sys','');
TerminateProcessByName('c:\windows\system32\sysmgr.exe');
QuarantineFile('c:\windows\system32\sysmgr.exe','');
TerminateProcessByName('c:\windows\msudp32.exe');
QuarantineFile('c:\windows\msudp32.exe','');
TerminateProcessByName('c:\windows\system32\ms18_word.exe');
QuarantineFile('c:\windows\system32\ms18_word.exe','');
TerminateProcessByName('c:\documents and settings\user\ms18_word.exe');
QuarantineFile('c:\documents and settings\user\ms18_word.exe','');
DeleteFile('c:\documents and settings\user\ms18_word.exe');
DeleteFile('c:\windows\system32\ms18_word.exe');
DeleteFile('c:\windows\msudp32.exe');
DeleteFile('c:\windows\system32\sysmgr.exe');
DeleteFile('C:\WINDOWS\system32\drivers\netsik.sys');
DeleteFile('C:\WINDOWS\system32\drivers\acpi32.sys');
DeleteFile('C:\WINDOWS\system32\drivers\ati64si.sys');
DeleteFile('C:\WINDOWS\system32\drivers\i386si.sys');
DeleteFile('C:\WINDOWS\system32\drivers\nicsk32.sys');
DeleteFile('C:\WINDOWS\system32\drivers\systemntmi.sys');
DeleteFile('C:\RECYCLER\S-1-5-21-8942275032-1420502524-989085791-0986\csvcs.exe');
DeleteFile('C:\WINDOWS\system32\regedit.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.

Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Сделайте новые логи

сделал

[QUOTE=thyrex;441975]Нужен файл virusinfo_[B]sys[/B]cure.zip [/QUOTE]???

сделал

Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
QuarantineFile('C:\WINDOWS\system32\regedit.exe','');
QuarantineFile('C:\Documents and Settings\NetworkService\ms18_word.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\ksi32sk.sys','');
DeleteService('ksi32sk');
QuarantineFile('C:\WINDOWS\system32\drivers\amd64si.sys','');
DeleteService('amd64si');
TerminateProcessByName('c:\windows\system32\wshost32.exe');
QuarantineFile('c:\windows\system32\wshost32.exe','');
TerminateProcessByName('c:\windows\system32\spooisv.exe');
QuarantineFile('c:\windows\system32\spooisv.exe','');
TerminateProcessByName('c:\windows\msconfigs.exe');
QuarantineFile('c:\windows\msconfigs.exe','');
TerminateProcessByName('c:\windows\system32\hp32_nword.exe');
QuarantineFile('c:\windows\system32\hp32_nword.exe','');
TerminateProcessByName('c:\documents and settings\user\hp32_nword.exe');
QuarantineFile('c:\documents and settings\user\hp32_nword.exe','');
DeleteFile('c:\documents and settings\user\hp32_nword.exe');
DeleteFile('c:\windows\system32\hp32_nword.exe');
DeleteFile('c:\windows\msconfigs.exe');
DeleteFile('c:\windows\system32\spooisv.exe');
DeleteFile('c:\windows\system32\wshost32.exe');
DeleteFile('C:\WINDOWS\system32\drivers\amd64si.sys');
DeleteFile('C:\WINDOWS\system32\drivers\ksi32sk.sys');
DeleteFile('C:\Documents and Settings\NetworkService\ms18_word.exe');
DeleteFile('C:\WINDOWS\system32\regedit.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.

Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Сделайте новые логи

Результат загрузки
Файл сохранён как 090807_092607_virus2_4a7bbaefe543a.zip
Размер файла 463357
MD5 0e09870ea71680319d271c28d4241693
Файл закачан, спасибо!

Диск с дистрибутивом имеется?

Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('msconfigs.exe','');
SetServiceStart('port135sik', 4);
DeleteService('port135sik');
SetServiceStart('nicsk32', 4);
DeleteService('nicsk32');
SetServiceStart('i386si', 4);
DeleteService('i386si');
QuarantineFile('C:\WINDOWS\system32\Drivers\Ntfs.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\nicsk32.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\i386si.sys','');
DeleteFile('C:\WINDOWS\system32\drivers\i386si.sys');
DeleteFile('C:\WINDOWS\system32\drivers\nicsk32.sys');
DeleteFile('msconfigs.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.

Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Сделайте новые логи

[QUOTE=thyrex;444431]Диск с дистрибутивом имеется?[/QUOTE]
Вы имеете в ввиду Windows? За дистрибутив текущей установки не уверен. Другой дистрибутив найдем.

Шлите последний карантин

Компьютер сам не перегрузился, и никак не хотел перегружаться кроме как по кнопке RESET.


Результат загрузки
Файл сохранён как 090808_095911_virus4_4a7d142fa7768.zip
Размер файла 419639
MD5 a5a8c9b95938002447b805590a1fc05f
Файл закачан, спасибо!

Файл [COLOR="Red"]C:\WINDOWS\system32\Drivers\Ntfs.sys[/COLOR] заражен, его нужно заменить на чистый из дистрибутива:
- Загрузитесь в [URL="http://support.microsoft.com/?scid=kb%3Bru%3B314058&x=11&y=10"]консоли восстановления[/URL]
- На приглашение введите строку:
[CODE]copy X:\i386\ntfs.sys C:\WINDOWS\system32\drivers\ntfs.sys[/CODE]
Вместо Х подставьте букву драйва, где лежит дистрибутив.
Переписывание подтвердите.
- Выйдите из консоли восстановления комадой exit + клавиша ВВОД.
- Загрузитесь нормально.

Альтернативная замена готовым файлом с аналогичной ОС может быть произведена при загрузке в консоли восстановления (см. выше), с Live CD (BartPE, Knpoppix etc.) или с установкой диска в другой ПК.

Дальнейшее лечение будет эффективным только после выполнения вышенаписанного

консоль восстановления не нашел на диске с дистрибутивом. Видимо какая то сборка.
Поставил рядом другую винду и уже из под нее удалил Ntfs.sys из старой винды и заменил файлом из новой, так пойдет?

Пойдет

Новые логи теперь делайте

сделал

Пофиксить в HiJack
[code] R3 - URLSearchHook: (no name) - - (no file)
O4 - HKLM\..\Run: [Regedit32] C:\WINDOWS\system32\regedit.exe
O4 - HKLM\..\Run: [wshost32] C:\WINDOWS\system32\wshost32.exe
O4 - HKCU\..\Run: [12CFG214-K641-12SF-N85P] C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe
[/code]

Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\wshost32.exe','');
QuarantineFile('C:\WINDOWS\system32\regedit.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-3122361550-0467662055-568212216-6700\csvcs.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe','');
DeleteService('port135sik');
TerminateProcessByName('c:\docume~1\user\locals~1\temp\700.exe');
QuarantineFile('c:\docume~1\user\locals~1\temp\700.exe','');
DeleteFile('c:\docume~1\user\locals~1\temp\700.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-3122361550-0467662055-568212216-6700\csvcs.exe');
DeleteFile('C:\WINDOWS\system32\regedit.exe');
DeleteFile('C:\WINDOWS\system32\wshost32.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
DeleteFileMask('c:\docume~1\user\locals~1\temp', '*.*', true);
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('port135sik');
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.

Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

В файле hosts удалите все, что не Ваше

Сделайте новые логи (все три файла)

сделал

[QUOTE='thyrex;446033']В файле hosts удалите все, что не Ваше[/QUOTE]Переформулирую вопрос - [B]в файл hosts вносили изменения сами?[/B]
Кроме антивирусных сайтов, доступ к которым у Вас блокируется в данное время, могут быть нужные Вам записи.

упс, извините про hosts совсем забыл - с ним ничего не делал
кроме этого, все чисто?

Выполните скрипт в AVZ
[code]begin
SetAVZGuardStatus(True);
ExecuteRepair(13);
RebootWindows(true);
end. [/code]Компьютер перезагрузится.

Сделайте новый лог по п.2 Диагностики.