Не запускается CureIT

Ни в обычном ни в безопасном режиме не запускается CureIt. После запуска вылетает ошибка, что приложение будет закрыто и появляется окошко CureIt, дескать были найдены вирусы. Посмотрите плиз.

Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\program files\adobe\acrotray .exe','');
QuarantineFile('C:\WINDOWS\system32\nerocheck.exe','');
QuarantineFile('C:\WINDOWS\system32\rooboobir.exe','');
QuarantineFile('C:\Documents and Settings\1\Application Data\jlwcbb.exe,explorer.exe,C:\Documents and Settings\1\Application Data\gkewzr.exe,Explorer.exe','');
QuarantineFile('C:\Documents and Settings\1\Application Data\jlwcbb.exe','');
QuarantineFile('C:\DOCUME~1\1\LOCALS~1\Temp\noittoo.sys','');
DeleteService('pwvlackcteo');
QuarantineFile('C:\WINDOWS\system32\drivers\protect.sys','');
DeleteService('protect');
DeleteService('cydsoyofyefrqxa');
SetServiceStart('ffrlialowz03', 4);
DeleteService('ffrlialowz03');
QuarantineFile('C:\WINDOWS\system32\app_dll.dll','');
TerminateProcessByName('c:\program files\internet explorer\wmpscfgs.exe');
QuarantineFile('c:\program files\internet explorer\wmpscfgs.exe','');
TerminateProcessByName('c:\windows\system32\vapywu.exe');
QuarantineFile('c:\windows\system32\vapywu.exe','');
TerminateProcessByName('C:\WINDOWS\system32\moonnijyg.exe');
QuarantineFile('C:\WINDOWS\system32\moonnijyg.exe','');
DeleteFile('C:\WINDOWS\system32\moonnijyg.exe');
DeleteFile('c:\windows\system32\vapywu.exe');
DeleteFile('c:\program files\internet explorer\wmpscfgs.exe');
DeleteFile('C:\WINDOWS\system32\app_dll.dll');
DeleteFile('C:\WINDOWS\system32\drivers\protect.sys');
DeleteFile('C:\DOCUME~1\1\LOCALS~1\Temp\noittoo.sys');
DeleteFile('C:\Documents and Settings\1\Application Data\jlwcbb.exe');
DeleteFile('C:\Documents and Settings\1\Application Data\jlwcbb.exe,explorer.exe,C:\Documents and Settings\1\Application Data\gkewzr.exe,Explorer.exe');
DeleteFile('C:\WINDOWS\system32\rooboobir.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','bivouh');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(17);
RebootWindows(true);
end. [/code]Компьютер перезагрузится.

Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Сделайте новые логи + лог [url]http://virusinfo.info/showpost.php?p=493610&postcount=1[/url]

Карантин закачал. Скоро будут логи.

Логи

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
[code]KillAll::

File::
c:\program files\143406.dat
c:\program files\297187.dat
c:\program files\127671.dat
c:\windows\system32\pujor.exe

Driver::

Folder::

Registry::

FileLook::

DirLook::[/code]
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
[IMG]http://i076.radikal.ru/1003/e5/554faea12baf.gif[/IMG]
Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.

c:\windows\system32\grpconv.exe восстановите с дистрибутива [url]http://virusinfo.info/showthread.php?t=51654[/url]

В имена этих легитимных файлов вирус добавил дополнительные пробелы перед расширением. Удалите лишние пробелы, вернув файлам их настоящие имена
[code]<pre>
c:\program files\ABBYY Lingvo 10 Multilingual Dictionary\lvagent .exe
c:\program files\ABBYY Lingvo 10 Multilingual Dictionary\tutor .exe
c:\program files\Adobe\Reader 9.0\Reader\reader_sl .exe
c:\program files\Battery Meter\btmeter .exe
c:\program files\CapsLKNotify\capslknotify .exe
c:\program files\Elantech\etdctrl .exe
c:\program files\Java\jre6\bin\jusched .exe
c:\program files\Messenger\msmsgs .exe
c:\program files\TrafficCompressor\tcompres .exe
c:\program files\WSED\wsed .exe
</pre>[/code]После этого сделайте еще раз лог ComboFix

Первый лог ComboFix.
Пробелы вручную удалить можно?

[QUOTE='Dunkelheit;629597']Пробелы вручную удалить можно?[/QUOTE]Именно так и нужно

В первый раз ComboFix при проверке вылетел с синим экраном.
После перезагрузки прошел нормально. Лог прилагаю.

c:\windows\system32\ezsidmv.dat (файл скрытый) вручную удалите

Запакуйте, пожалуйста, папку [B]C:\Qoobox[/B] с паролем [B]virus[/B] и пришлите на thyrex2002<at>tut.by (at=@) с указанной ссылкой на тему. Когда отправите, сообщите

Файл удалил. Письмо ушло.

[URL="http://virusinfo.info/showpost.php?p=500136&postcount=2"]Удалите ComboFix[/URL]

Пофиксите в Hijack
[CODE]F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe[/CODE]Больше плохого не видно

Установите [url="http://www.microsoft.com/rus/windows/internet-explorer/default.aspx"]Internet Explorer 8[/url] (даже если им не пользуетесь)

Благодарю за помощь.

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]28[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\documents and settings\1\application data\jlwcbb.exe - [B]Net-Worm.Win32.Kolab.hrr[/B] ( DrWEB: BackDoor.IRC.Bot.267, BitDefender: Trojan.Inject.VB.AM, AVAST4: Win32:Malware-gen )[*] c:\program files\internet explorer\wmpscfgs.exe - [B]Trojan-Clicker.Win32.Cycler.ozk[/B] ( DrWEB: Win32.HLLC.Asdas.4, BitDefender: Trojan.Agent.APHU, AVAST4: Win32:Spambot-EL [Trj] )[*] c:\windows\system32\app_dll.dll - [B]Trojan.Win32.FraudPack.apul[/B] ( DrWEB: Trojan.Siggen.59885, BitDefender: Trojan.Generic.3602389, AVAST4: Win32:Spambot-EL [Trj] )[*] c:\windows\system32\moonnijyg.exe - [B]Trojan-Dropper.Win32.Vidro.qb[/B] ( DrWEB: Trojan.WinSpy.711, AVAST4: Win32:Crypt-GCF [Trj] )[*] c:\windows\system32\nerocheck.exe - [B]Trojan-Clicker.Win32.Cycler.ozk[/B] ( DrWEB: Win32.HLLC.Asdas.4, BitDefender: Trojan.Agent.APHU, AVAST4: Win32:Spambot-EL [Trj] )[*] c:\windows\system32\rooboobir.exe - [B]Trojan-Dropper.Win32.Vidro.qc[/B] ( DrWEB: Trojan.WinSpy.711, AVAST4: Win32:Crypt-GCF [Trj] )[*] c:\windows\system32\vapywu.exe - [B]Trojan-Dropper.Win32.Vidro.qc[/B] ( DrWEB: Trojan.WinSpy.711, AVAST4: Win32:Crypt-GCF [Trj] )[/LIST][/LIST]