Помогите опять этот гад Email-Worm.Win32.Warezov

[FONT=Times New Roman][SIZE=3]Добрый вечер. Неделю назад получил по ICQ с адреса друга ссылку . На автомате активизировал ее. Теперь жалею. Активизировал экзешник. Понял что выхватил вируса. Установил KIS 6. Он сразу обнаружил более 30 вредоносных модулей. Многих он обезвредил сразу. Некоторые удалить не смог.[/SIZE][/FONT]
[FONT=Times New Roman][SIZE=3]не найдено: вирус Email-Worm.Win32.Warezov.cv Модуль: winlogon.exe\e1.dll[/SIZE][/FONT]
[SIZE=3][FONT=Times New Roman]удалено: вирус Email-Worm.Win32.Warezov.cv Файл: C:\WINDOWS\system32\e1.dll[/FONT][/SIZE]
[SIZE=3][FONT=Times New Roman]будет удалено при перезагрузке компьютера: вирус Email-Worm.Win32.Warezov.gen Файл: C:\WINDOWS\system32\psapdani.dll[/FONT][/SIZE]
[SIZE=3][FONT=Times New Roman]не найдено: вирус Email-Worm.Win32.Warezov.cv Модуль: services.exe\e1.dll[/FONT][/SIZE]
[SIZE=3][FONT=Times New Roman]не найдено: вирус Email-Worm.Win32.Warezov.cv Модуль: lsass.exe\e1.dll[/FONT][/SIZE]
[SIZE=3][FONT=Times New Roman]удалено: вирус Email-Worm.Win32.Warezov.cv Модуль: ibmpmsvc.exe\e1.dll[/FONT][/SIZE]
[SIZE=3][FONT=Times New Roman]не найдено: вирус Email-Worm.Win32.Warezov.cv Модуль: svchost.exe\e1.dll[/FONT][/SIZE]
[SIZE=3][FONT=Times New Roman]не найдено: вирус Email-Worm.Win32.Warezov.cv Модуль: svchost.exe\e1.dll[/FONT][/SIZE]
[SIZE=3][FONT=Times New Roman]не найдено: вирус Email-Worm.Win32.Warezov.cv Модуль: svchost.exe\e1.dll[/FONT][/SIZE]
[SIZE=3][FONT=Times New Roman]не найдено: вирус Email-Worm.Win32.Warezov.cv Модуль: svchost.exe\e1.dll[/FONT][/SIZE]
[SIZE=3][FONT=Times New Roman]не найдено: вирус Email-Worm.Win32.Warezov.cv Модуль: svchost.exe\e1.dll[/FONT][/SIZE]
[SIZE=3][FONT=Times New Roman]удалено: вирус Email-Worm.Win32.Warezov.cv Модуль: spoolsv.exe\e1.dll[/FONT][/SIZE]
[SIZE=3][FONT=Times New Roman]удалено: вирус Email-Worm.Win32.Warezov.cv Модуль: ati2evxx.exe\e1.dll[/FONT][/SIZE]
[SIZE=3][FONT=Times New Roman]удалено: вирус Email-Worm.Win32.Warezov.cv Модуль: MDM.EXE\e1.dll[/FONT][/SIZE]
[SIZE=3][FONT=Times New Roman]удалено: вирус Email-Worm.Win32.Warezov.cv Модуль: QCONSVC.EXE\e1.dll[/FONT][/SIZE]
[SIZE=3][FONT=Times New Roman]удалено: вирус Email-Worm.Win32.Warezov.cv Модуль: locator.exe\e1.dll[/FONT][/SIZE]
[SIZE=3][FONT=Times New Roman]удалено: вирус Email-Worm.Win32.Warezov.cv Модуль: PDSched.exe\e1.dll[/FONT][/SIZE]
[SIZE=3][FONT=Times New Roman]удалено: вирус Email-Worm.Win32.Warezov.cv Модуль: explorer.exe\e1.dll[/FONT][/SIZE]
[SIZE=3][FONT=Times New Roman]удалено: вирус Email-Worm.Win32.Warezov.cv Модуль: alg.exe\e1.dll[/FONT][/SIZE]
[SIZE=3][FONT=Times New Roman]удалено: вирус Email-Worm.Win32.Warezov.cv Модуль: atiptaxx.exe\e1.dll[/FONT][/SIZE]
[SIZE=3][FONT=Times New Roman]удалено: вирус Email-Worm.Win32.Warezov.cv Модуль: tp4serv.exe\e1.dll[/FONT][/SIZE]
[SIZE=3][FONT=Times New Roman]удалено: вирус Email-Worm.Win32.Warezov.cv Модуль: TPHKMGR.exe\e1.dll[/FONT][/SIZE]
[SIZE=3][FONT=Times New Roman]удалено: вирус Email-Worm.Win32.Warezov.cv Модуль: tfswctrl.exe\e1.dll[/FONT][/SIZE]
[SIZE=3][FONT=Times New Roman]удалено: вирус Email-Worm.Win32.Warezov.cv Модуль: realsched.exe\e1.dll[/FONT][/SIZE]
[SIZE=3][FONT=Times New Roman]удалено: вирус Email-Worm.Win32.Warezov.cv Модуль: avp.exe\e1.dll[/FONT][/SIZE]
[SIZE=3][FONT=Times New Roman]удалено: вирус Email-Worm.Win32.Warezov.cv Модуль: ctfmon.exe\e1.dll[/FONT][/SIZE]
[SIZE=3][FONT=Times New Roman]удалено: вирус Email-Worm.Win32.Warezov.cv Модуль: ps.exe\e1.dll[/FONT][/SIZE]
[SIZE=3][FONT=Times New Roman]удалено: вирус Email-Worm.Win32.Warezov.cv Модуль: gprsexpl.exe\e1.dll[/FONT][/SIZE]
[SIZE=3][FONT=Times New Roman]удалено: вирус Email-Worm.Win32.Warezov.cv Модуль: Magent.exe\e1.dll[/FONT][/SIZE]
[SIZE=3][FONT=Times New Roman]удалено: вирус Email-Worm.Win32.Warezov.cv Модуль: k-mania.exe\e1.dll[/FONT][/SIZE]
[SIZE=3][FONT=Times New Roman]удалено: вирус Email-Worm.Win32.Warezov.cv Файл: C:\WINDOWS\System32\netfrtm.dll[/FONT][/SIZE]
[SIZE=3][FONT=Times New Roman]удалено: вирус Email-Worm.Win32.Warezov.gen Файл: C:\WINDOWS\system32\hypewmv9.exe[/FONT][/SIZE]
[SIZE=3][FONT=Times New Roman]удалено: троянская программа Trojan-Downloader.Win32.Zlob.in Файл: C:\RECYCLER\A0049143.sys[/FONT][/SIZE]
[SIZE=3][FONT=Times New Roman]удалено: троянская программа Trojan-Downloader.Win32.Zlob.adw Файл: C:\Мои документы\КОНТРАГЕНТЫ\Программы\intcodec-v6.651.exe/PE_Patch.UPX/UPX/stream/data0006[/FONT][/SIZE]
[SIZE=3][FONT=Times New Roman]не найдено: вирус Email-Worm.Win32.Warezov.cw Файл: C:\WINDOWS\System32\scsm.exe/PE_Patch/UPack[/FONT][/SIZE]
[SIZE=3][FONT=Times New Roman]удалено: вирус Email-Worm.Win32.Warezov.cu Файл: C:\WINDOWS\system32\fsxsh4.dll[/FONT][/SIZE]
[SIZE=3][FONT=Times New Roman]удалено: вирус Email-Worm.Win32.Warezov.cu Файл: C:\WINDOWS\system32\gtmqf608r7.dll[/FONT][/SIZE]
[SIZE=3][FONT=Times New Roman]удалено: вирус Email-Worm.Win32.Warezov.gen Файл: C:\WINDOWS\system32\d03bpf.exe[/FONT][/SIZE]
[SIZE=3][FONT=Times New Roman]удалено: вирус Email-Worm.Win32.Warezov.cu Файл: C:\WINDOWS\system32\ml7swr.dll[/FONT][/SIZE]
[SIZE=3][FONT=Times New Roman]удалено: вирус Email-Worm.Win32.Warezov.cu Файл: C:\WINDOWS\System32\cp8xpqj.dll[/FONT][/SIZE]
[SIZE=3][FONT=Times New Roman]удалено: вирус Email-Worm.Win32.Warezov.gen Файл: C:\WINDOWS\system32\lfs5kem5v.exe[/FONT][/SIZE]
[SIZE=3][FONT=Times New Roman]не найдено: вирус Email-Worm.Win32.Warezov.dq Файл: C:\WINDOWS\system32\audmgr32.dll[/FONT][/SIZE]
[SIZE=3][FONT=Times New Roman]не найдено: вирус Email-Worm.Win32.Warezov.dq Файл: C:\WINDOWS\system32\audprf32.dll[/FONT][/SIZE]
[SIZE=3][FONT=Times New Roman]удалено: вирус Email-Worm.Win32.Warezov.dq Файл: C:\RECYCLER\S-1-5-21-1694720459-4293445415-1943663836-1004\Dc2.dll[/FONT][/SIZE]
[SIZE=3][FONT=Times New Roman]удалено: вирус Email-Worm.Win32.Warezov.df Файл: C:\System Volume Information\_restore{1C13F71B-87FC-4288-A995-5380918A7969}\RP2\A0000038.exe/PE_Patch/UPack[/FONT][/SIZE]
[SIZE=3][FONT=Times New Roman]не найдено: вирус Email-Worm.Win32.Warezov.df Файл: C:\System Volume Information\_restore{1C13F71B-87FC-4288-A995-5380918A7969}\RP2\A0000101.exe/PE_Patch/UPack[/FONT][/SIZE]
[SIZE=3][FONT=Times New Roman]не найдено: вирус Email-Worm.Win32.Warezov.df Файл: C:\System Volume Information\_restore{1C13F71B-87FC-4288-A995-5380918A7969}\RP2\A0000185.exe/PE_Patch/UPack[/FONT][/SIZE]
[SIZE=3][FONT=Times New Roman]не найдено: вирус Email-Worm.Win32.Warezov.dq Файл: C:\System Volume Information\_restore{1C13F71B-87FC-4288-A995-5380918A7969}\RP2\A0000236.exe/PE_Patch/MewBundle/MEW[/FONT][/SIZE]
[SIZE=3][FONT=Times New Roman]не найдено: вирус Email-Worm.Win32.Warezov.dq Файл: C:\System Volume Information\_restore{1C13F71B-87FC-4288-A995-5380918A7969}\RP2\A0000237.exe/PE_Patch/MewBundle/MEW[/FONT][/SIZE]
[SIZE=3][FONT=Times New Roman]не найдено: вирус Email-Worm.Win32.Warezov.df Файл: C:\System Volume Information\_restore{1C13F71B-87FC-4288-A995-5380918A7969}\RP2\A0000247.exe/PE_Patch/UPack[/FONT][/SIZE]
[SIZE=3][FONT=Times New Roman]не найдено: вирус Email-Worm.Win32.Warezov.df Файл: C:\System Volume Information\_restore{1C13F71B-87FC-4288-A995-5380918A7969}\RP2\A0000251.exe/PE_Patch/UPack[/FONT][/SIZE]
[SIZE=3][FONT=Times New Roman]не найдено: вирус Email-Worm.Win32.Warezov.gen Файл: C:\System Volume Information\_restore{1C13F71B-87FC-4288-A995-5380918A7969}\RP2\A0000257.exe[/FONT][/SIZE]
[SIZE=3][FONT=Times New Roman]не найдено: вирус Email-Worm.Win32.Warezov.cv Файл: C:\System Volume Information\_restore{1C13F71B-87FC-4288-A995-5380918A7969}\RP2\A0000258.dll[/FONT][/SIZE]
[SIZE=3][FONT=Times New Roman]не найдено: вирус Email-Worm.Win32.Warezov.gen Файл: C:\System Volume Information\_restore{1C13F71B-87FC-4288-A995-5380918A7969}\RP2\A0000274.dll[/FONT][/SIZE]
[SIZE=3][FONT=Times New Roman]не найдено: вирус Email-Worm.Win32.Warezov.dq Файл: C:\System Volume Information\_restore{1C13F71B-87FC-4288-A995-5380918A7969}\RP2\A0000308.exe[/FONT][/SIZE]
[SIZE=3][FONT=Times New Roman]не найдено: вирус Email-Worm.Win32.Warezov.df Файл: C:\System Volume Information\_restore{1C13F71B-87FC-4288-A995-5380918A7969}\RP2\A0000309.exe/PE_Patch/UPack[/FONT][/SIZE]
[SIZE=3][FONT=Times New Roman]обнаружено: потенциально опасное ПО Invader (loader) Процесс: C:\Program Files\Kleptomania\k-mania.exe[/FONT][/SIZE]
[FONT=Times New Roman][SIZE=3]обнаружено: потенциально опасное ПО Invader (loader) Процесс: C:\Program Files\Punto Switcher\ps.exe[/SIZE][/FONT]
[FONT=Times New Roman][SIZE=3] [/SIZE][/FONT]
[FONT=Times New Roman][SIZE=3]Сейчас периодически он находит и удаляет модули.. [/SIZE][/FONT]
[SIZE=3][FONT=Times New Roman]Согласно инструкции на сайте , удал все ключи которые нашел в реестре связанные с этим вирусом. Очистил папку C:\System Volume Information\_restore, прошелся Dr/Web/ /[/FONT][/SIZE]
[FONT=Times New Roman][SIZE=3]Поудалял все что можно в безопасном режиме. [/SIZE][/FONT]
[FONT=Times New Roman][SIZE=3]Не все файлы разрешает удалить. [/SIZE][/FONT]
[FONT=Times New Roman][SIZE=3]Уже не знаю что и делать. [/SIZE][/FONT]
[FONT=Times New Roman][SIZE=3]Выполнил все ваши инструкции . если что лишнего написал. Прошу извинить , думаю может поможет.[/SIZE][/FONT]
[FONT=Times New Roman][SIZE=3] [/SIZE][/FONT]
[FONT=Times New Roman][SIZE=3]Отправляю три лога.[/SIZE][/FONT]
[SIZE=3][FONT=Times New Roman]Помогите пожалуйста убить ГАДА ![/FONT][/SIZE]

Прочтите внимательно правила раздела, логи AVZ должны быть другие.

Добрый вечер. Прошу извинить за неверно поданные данные. Вот вроде правильные файлы. Буду ждать от Вас помощи. Заранее спасибо за поддержку.

[url=http://virusinfo.info/showthread.php?t=4491]Пофиксите[/url] в логе Hijack строки
[b]O20 - Winlogon Notify: audmgr - audmgr32.dll (file missing)[/b]
[b]O4 - HKLM\..\Run: [audiag] C:\WINDOWS\system32\audconf.exe[/b]

Судя по логу касперский с Web`ом справились.

Упс пропустил одного -
C:\WINDOWS\chater.exe
Пришлите нам как написано в правилах, потом сотрите этот файл.

[FONT=Times New Roman][SIZE=3]Отправил все что нашлось при поиске этого файла AVZ. Во время перемещения пыталась инсталироваться программа из приложения, как мне показалось Roxio. Не успел точно разглядеть. Буду удалять эту прогу вообще. В это же время работал AIS 6, нашел в удаленных папках в оутлуке еще зараженные спам- письма. Удаляю. Очистил корзину на всякий случай ( папку Recycler). Указанные вами строчки профиксил.[/SIZE][/FONT]

Повторите последний лог AVZ, из правил, для проверки.

Перед формированием лога, перегрузил комп. Вот, посмотрите пожалуйста.

Или лог не тот или все на месте.
Ещё раз подругому -
Запускаете AVZ,
включаете AVZGuard
"Сервис"-"Диспечер автозапуска"
Удалить строки содержащие -
[b]C:\WINDOWS\system32\audconf.exe[/b]
[b]audmgr32.dll[/b]

"Файл"->"Отложенное удаление"
[b]C:\WINDOWS\chater.exe[/b]

Перезагрузка не выходя из AVZ и не выключая Guard.

Повторить логи из пунктов 10 и 12 правил.

Добрый день.
[B]C:\WINDOWS\system32\audconf.exe- удалил[/B]
[B]audmgr32.dll- файл не найден.[/B]
[B]C:\WINDOWS\chater.exe- файл не найден.[/B]
[B]Логи прикрепляю.[/B]

Пофиксите в Hijack -
O20 - Winlogon Notify: audmgr - audmgr32.dll (file missing)
R3 - URLSearchHook: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)

Пришлите, как написано в правилах -
Ati2mdxx.exe
atiptaxx.exe
tp4serv.exe
tp4ex.exe
C:\Program Files\Google\GoogleToolbarNotifier\1.0.720.3640\GoogleToolbarNotifier.exe
C:\WINDOWS\System32\QCONSVC.EXE
C:\WINDOWS\system32\usrbridg.exe
c:\progra~1\klepto~1\k-mania.exe
C:\Program Files\Common Files\Raxco\AutoUpdps.dll
C:\PROGRA~1\KLEPTO~1\K-MHook.dll

[COLOR=black][FONT='Times New Roman'][FONT='Times New Roman']Добрый вечер. Строки профиксил.[/FONT]
[FONT='Times New Roman']Перегрузил. При добавление файлов в в карантин не все появились согласна списка добавления. Все что появились, добавил в архив и отправил.[/FONT]
[FONT=Times New Roman][SIZE=3]Еще забыл сказать у меня с того момента как я первый раз профиксил строки , при загрузки компьютера появляется сообщение такого типа - Память не может быть «written» и число с большим количеством нулей. На моменте загрузки рабочего стола появляется об какой то ошибки процесса «usrbrige.exe».[/SIZE][/FONT]
[FONT=Times New Roman][SIZE=3]А так система работает нормально. Касперский не ругается. Отлавливает заразу на входе которая идет со спамом.[/SIZE][/FONT]
[FONT=Times New Roman][SIZE=3] [/SIZE][/FONT]
[/FONT][/COLOR]

Ошибся ! Процесс с ошибкой при появление рабочего стола называется «usrbridg.exe».

Добрый день, уважаемый RiС.
Скажите пожалуйста что мне дальше делать с остаткми вируса ?

Пофиксите в Hijack -
O20 - Winlogon Notify: audmgr - audmgr32.dll (file missing)

Вируса больше не видно.

[quote]
Еще забыл сказать у меня с того момента как я первый раз профиксил строки , при загрузки компьютера появляется сообщение такого типа - Память не может быть «written» и число с большим количеством нулей. На моменте загрузки рабочего стола появляется об какой то ошибки процесса «usrbrige.exe».
[/quote]
Попробуйте переустановить драйвер от инфракрасного порта на Вашем ноутбуке, должно помочь.

[COLOR=black]Доброго времени суток. Прошу извинить за отсутствие ответа - пришлось отлучиться не на долго. [/COLOR]
[COLOR=black]Строки профиксил. На всякий случай отправляю три лога. Посмотрите пожалуйста все ли чисто?[/COLOR]
[COLOR=black]Заранее вам благодарен за помощь.[/COLOR]
[FONT=Times New Roman][SIZE=3] [/SIZE][/FONT]

[QUOTE=VRV][COLOR=black]Доброго времени суток. Прошу извинить за отсутствие ответа - пришлось отлучиться не на долго. [/COLOR]
[COLOR=black]Строки профиксил. На всякий случай отправляю три лога. Посмотрите пожалуйста все ли чисто?[/COLOR][/QUOTE]

В реестре осталась некорректная запись, Hijack не убрал почему-то, попробуйте из AVZ, зайдите в "Сервис" -> "Менеджер автозапуска" и удалите оттуда строку содержащую "audmgr32.dll".

В остальном чисто, вируса нет, в принципе логи можете больше не повторять.

Уважаемый Ric , большое вам спасибо за вашу неоценимую помощь ! Искренне вам благодарен !!
С уважением, VRV.