Вирусы

Помогите, пожалуйста. На компьютере явно можество всего левого.

Пофиксите в HiJack
[CODE]F2 - REG:system.ini: UserInit=D:\WINDOWS\system32\userinit.exe,D:\WINDOWS\system32\4e6e1702.exe,\\?\globalroot\systemroot\system32\BMF9kN0.exe,
O4 - HKCU\..\Run: [dytupf] D:\WINDOWS\system32\xytz66q3.exe
O4 - HKCU\..\Run: [lhxxtt2] D:\WINDOWS\system32\pqlbcxd6.exe[/CODE]

Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('d:\docume~1\user\locals~1\temp\65541.exe');
TerminateProcessByName('d:\windows\system32\tuhuvut.exe');
TerminateProcessByName('d:\windows\system32\voogecouf.exe');
TerminateProcessByName('d:\windows\temp\wpv571275029417.exe');
TerminateProcessByName('d:\windows\temp\wpv961275058946.exe');
QuarantineFile('D:\WINDOWS\services.exe','');
QuarantineFile('D:\System Volume Information\_restore{3407D60F-8670-4A05-BF96-17924FC1B8AE}\RP3\A0000092.exe:userini.exe:$DATA','');
QuarantineFile('d:\windows\explorer.exe:userini.exe:$DATA','');
QuarantineFile('D:\WINDOWS\system32\userini.exe','');
QuarantineFile('D:\WINDOWS\system32\sysguard.exe','');
QuarantineFile('D:\WINDOWS\system32\gewoosuc.exe','');
QuarantineFile('D:\WINDOWS\system32\970njzz.exe','');
QuarantineFile('D:\WINDOWS\system32\4e6e1702.exe','');
QuarantineFile('D:\RECYCLER\S-1-5-21-2987542891-5732006964-395766197-7139\yv8g67.exe','');
QuarantineFile('D:\Documents and Settings\User\Application Data\vgdoqo.exe','');
QuarantineFile('D:\Documents and Settings\LocalService\Application Data\Microsoft\joutylunuk.exe','');
QuarantineFile('D:\WINDOWS\system32\sokoowadu.exe','');
QuarantineFile('d:\windows\temp\wpv961275058946.exe','');
QuarantineFile('d:\windows\temp\wpv571275029417.exe','');
QuarantineFile('d:\windows\system32\voogecouf.exe','');
QuarantineFile('d:\windows\system32\tuhuvut.exe','');
QuarantineFile('d:\docume~1\user\locals~1\temp\65541.exe','');
QuarantineFile('D:\DOCUME~1\User\LOCALS~1\Temp\0855.exe','');
DeleteFile('D:\DOCUME~1\User\LOCALS~1\Temp\0855.exe');
DeleteFile('d:\docume~1\user\locals~1\temp\65541.exe');
DeleteFile('d:\windows\system32\tuhuvut.exe');
DeleteFile('d:\windows\system32\voogecouf.exe');
DeleteFile('d:\windows\temp\wpv571275029417.exe');
DeleteFile('d:\windows\temp\wpv961275058946.exe');
DeleteFile('D:\WINDOWS\system32\sokoowadu.exe');
DeleteFile('D:\Documents and Settings\LocalService\Application Data\Microsoft\joutylunuk.exe');
DeleteFile('D:\Documents and Settings\User\Application Data\vgdoqo.exe');
DeleteFile('D:\Documents and Settings\User\ctfmon.exe,D:\Documents and Settings\User\Application Data\vgdoqo.exe,explorer.exe,D:\RECYCLER\S-1-5-21-2987542891-5732006964-395766197-7139\yv8g67.exe');
DeleteFile('D:\RECYCLER\S-1-5-21-2987542891-5732006964-395766197-7139\yv8g67.exe');
DeleteFile('D:\WINDOWS\system32\4e6e1702.exe');
DeleteFile('D:\WINDOWS\system32\970njzz.exe');
DeleteFile('D:\WINDOWS\system32\gewoosuc.exe');
DeleteFile('D:\WINDOWS\system32\sysguard.exe');
DeleteFile('D:\WINDOWS\system32\userini.exe');
DeleteFile('d:\windows\explorer.exe:userini.exe:$DATA');
DeleteFile('D:\System Volume Information\_restore{3407D60F-8670-4A05-BF96-17924FC1B8AE}\RP3\A0000092.exe:userini.exe:$DATA');
DeleteFile('D:\WINDOWS\services.exe');
RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','kujov');
RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','kujov');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','lwxsty');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','nova');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','System Profiling');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','userini');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','userini');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','userini');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','userini');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
DeleteService('eyetookah');
DeleteService('bvi0o2ueyeky');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(20);
RebootWindows(true);
end. [/code]Компьютер перезагрузится.

Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Сделайте новые логи

Файл сохранён как 100528_210630_virus_4bfff816869c6.zip
Размер файла 3899947
MD5 7c214707b35834a4caff365c8f2c7d95

Логи делаю. Спасибо!

Новые логи

упс забыл

[B]Отключите восстановление системы[/B]

Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('d:\windows\temp\wpv011275029474.exe');
DeleteFile('d:\windows\explorer.exe:userini.exe:$DATA');
DeleteFile('d:\windows\explorer.exe:userini.exe');
DeleteFile('D:\System Volume Information\_restore{3407D60F-8670-4A05-BF96-17924FC1B8AE}\RP4\A0000158.exe:userini.exe:$DATA');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.

Сделайте новые логи

при выполнениии скрипта комп подвис, после перезагрузки нод крикнул что нашел вирус. Сейчас попробую запустить скрипт еще раз.

[size="1"][color="#666686"][B][I]Добавлено через 6 минут[/I][/B][/color][/size]

В общем после выполнения скрипта комп подвисает на пустом рабочем столе (видимо во время перезагрузки, нет ни ярлыков ни строки строки "пуск").

У нас заметное ухудшение. При попытке открыть ваш сайт (или другой антивирусный, напр дрвеб) браузер закрывается. При запуске авз комп выключается. При попытке открыть видеофайл вылазит порнобаннер буквально пол секунды светится. Потом выскакивает ошибка и активное окно подвисает.

в безопасном режиме можно загрузиться?

В безопасном режиме загрузится можно, но при запуске авз комп все равно уходит в ребут.

попробуйте полиморфным AVZ - возьмите из подписи [B]thyrex[/B]

Такой же результат.

1. Скачайте образ [B]ERD Commander[/B], запишите на болванку и загрузитесь с созданного диска
2. Пуск - Выполнить - [B]erdregedit[/B]
3. Посмотрите в реестре:
[B]ветка[/B]
[code]HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows[/code]
[B]параметр[/B]
[code]AppInit_DLLs[/code]

Содержимое этого параметра напишите в своем сообщении

ERD говорит что система не установленна и реест подгрузить не удалось.
В реестре поле этого параметра пустое.

Тогда [URL="http://virusinfo.info/showpost.php?p=306441&postcount=2"]так[/URL] или [URL="http://virusinfo.info/showpost.php?p=557652&postcount=5"]так[/URL]

Прошелся диском касперского. Помогло - вот новые логи. Вкладка с восстановлением системы отсутствует. Диспетчер задач непашет, редактор реестра тоже.

Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('D:\WINDOWS\DtcInstall.log:GhtTEv1BvmkMY8c2aM6+','');
DeleteFile('D:\WINDOWS\DtcInstall.log:GhtTEv1BvmkMY8c2aM6+');
QuarantineFile('D:\WINDOWS\system32\nYU8BYs.exe','');
DeleteFile('D:\WINDOWS\system32\nYU8BYs.exe');
QuarantineFile('D:\WINDOWS\system32\52WCo95.exe','');
DeleteFile('D:\WINDOWS\system32\52WCo95.exe');
QuarantineFile('D:\Documents and Settings\User\Local Settings\Temporary Internet Files\Content.IE5\QR51S8RB\ewmk[1].exe','');
DeleteFile('D:\Documents and Settings\User\Local Settings\Temporary Internet Files\Content.IE5\QR51S8RB\ewmk[1].exe');
QuarantineFile('D:\Documents and Settings\User\Local Settings\Temporary Internet Files\Content.IE5\NXTRKGWJ\dwwdkm[1].exe','');
DeleteFile('D:\Documents and Settings\User\Local Settings\Temporary Internet Files\Content.IE5\NXTRKGWJ\dwwdkm[1].exe');
QuarantineFile('D:\Documents and Settings\User\Local Settings\Temp\943.exe','');
DeleteFile('D:\Documents and Settings\User\Local Settings\Temp\943.exe');
QuarantineFile('D:\Documents and Settings\User\Local Settings\Temp\065.exe','');
DeleteFile('D:\Documents and Settings\User\Local Settings\Temp\065.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(6);
ExecuteRepair(11);
ExecuteRepair(12);
ExecuteRepair(17);
RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
RebootWindows(true);
end. [/code]Компьютер перезагрузится.

Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Сделайте новые логи + лог [url]http://virusinfo.info/showpost.php?p=457118&postcount=1[/url]

Файл сохранён как 100602_020237_virus_4c05837d1fbfd.zip
Размер файла 5047
MD5 d9a7447c1347d4416bca1561123d2aff

новые логи.

мбам сканирует

лог мбам

1.удалите в MBAM
[CODE]
Зараженные параметры в реестре:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\host (Malware.Trace) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\id (Malware.Trace) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Services\del (Malware.Trace) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_1 (Rootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_2 (Rootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_3 (Rootkit.Agent) -> No action taken.

Зараженные файлы:
D:\Documents and Settings\User\Рабочий стол\avz4\Infected\2010-05-28\avz00001.dta (Trojan.Shiz) -> No action taken.
D:\Documents and Settings\User\Рабочий стол\avz4\Infected\2010-05-28\avz00003.dta (Trojan.Shiz) -> No action taken.
D:\Documents and Settings\User\Рабочий стол\avz4\Infected\2010-05-28\avz00004.dta (Trojan.Shiz) -> No action taken.
D:\Documents and Settings\User\Рабочий стол\avz4\Infected\2010-05-28\avz00006.dta (Trojan.Shiz) -> No action taken.
D:\Documents and Settings\User\Рабочий стол\avz4\Quarantine\2010-05-28\avz00001.dta (Trojan.Dropper) -> No action taken.
D:\Documents and Settings\User\Рабочий стол\avz4\Quarantine\2010-05-28\avz00002.dta (Trojan.Dropper) -> No action taken.
D:\Documents and Settings\User\Рабочий стол\avz4\Quarantine\2010-05-28\avz00005.dta (Trojan.Dropper) -> No action taken.
D:\Documents and Settings\User\Рабочий стол\avz4\Quarantine\2010-05-28\avz00006.dta (Trojan.Dropper) -> No action taken.
D:\Documents and Settings\User\Рабочий стол\avz4\Quarantine\2010-05-28\avz00009.dta (Adware.Agent) -> No action taken.
D:\Documents and Settings\User\Рабочий стол\avz4\Quarantine\2010-05-28\avz00011.dta (Worm.Palevo) -> No action taken.
D:\Documents and Settings\User\Рабочий стол\avz4\Quarantine\2010-05-28\avz00017.dta (Trojan.Dropper) -> No action taken.
D:\Documents and Settings\User\Рабочий стол\avz4\Quarantine\2010-05-28\bcqr00017.dta (Worm.Palevo) -> No action taken.
D:\Documents and Settings\User\Рабочий стол\avz4\Quarantine\2010-05-28\bcqr00018.dta (Worm.Palevo) -> No action taken.
D:\Documents and Settings\User\Application Data\wiaservg.log (Malware.Trace) -> No action taken.
D:\Program Files\Common Files\keylog.txt (Malware.Trace) -> No action taken.
[/CODE]
2.[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
SetAVZPMStatus(true);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,');
QuarantineFile('D:\Documents and Settings\User\Local Settings\Temporary Internet Files\Content.IE5\NXTRKGWJ\fewmdfe[1].exe','');
QuarantineFile('D:\Documents and Settings\User\Local Settings\Temporary Internet Files\Content.IE5\NXTRKGWJ\3[1].exe','');
QuarantineFile('D:\Documents and Settings\User\Local Settings\Temporary Internet Files\Content.IE5\7H4UU2FK\dewds1[1].exe','');
QuarantineFile('D:\WINDOWS\Prefetch\EXPLORER.EXE','');
QuarantineFile('D:\Documents and Settings\User\Local Settings\Temp\469.exe ','');
QuarantineFile('D:\Documents and Settings\User\Local Settings\Temp\933.exe','');
QuarantineFile('D:\Documents and Settings\User\Local Settings\Temp\~TM10.tmp','');
QuarantineFile('D:\Documents and Settings\User\Local Settings\Temp\~TM211.tmp','');
DeleteFile('D:\Documents and Settings\User\Local Settings\Temporary Internet Files\Content.IE5\NXTRKGWJ\fewmdfe[1].exe');
DeleteFile('D:\Documents and Settings\User\Local Settings\Temporary Internet Files\Content.IE5\NXTRKGWJ\3[1].exe');
DeleteFile('D:\Documents and Settings\User\Local Settings\Temporary Internet Files\Content.IE5\7H4UU2FK\dewds1[1].exe');
QuarantineFile('D:\WINDOWS\DtcInstall.log:GhtTEv1BvmkMY8c2aM6+','');
DeleteFile('D:\WINDOWS\DtcInstall.log:GhtTEv1BvmkMY8c2aM6+');
DeleteFile('D:\Documents and Settings\User\Local Settings\Temp\469.exe');
DeleteFile('D:\Documents and Settings\User\Local Settings\Temp\933.exe');
DeleteFileMask('D:\Documents and Settings\User\Local Settings\Temporary Internet Files\Content.IE5', '*.*', true);
RegKeyStrParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs', '');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
BC_Activate;
RebootWindows(true);
end.[/CODE]

После перезагрузки:
- выполните такой скрипт
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
- Файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ загрузите по ссылке [B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B] вверху темы
- Сделайте повторные логи по [URL="http://virusinfo.info/pravila_old.html"]правилам[/URL] п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log;)
- Сделайте лог [URL="http://virusinfo.info/showthread.php?t=53070"]MBAM[/URL]