Завелся троян.

Завелся троян все время предлогает скачать что-то из интернета!
Выдает сообщение Trojan Adware.W32.ExpDwnldr!
Попробовал около 5 антивирусов ниодин не может устранить надежда только на ВАС.

не прикреплять к теме вирусы ! [url]http://virusinfo.info/showthread.php?t=1235[/url]

[URL="http://virusinfo.info/showthread.php?t=1235"]Правила[/URL] читать кто будет?
[QUOTE][B]Перед выполнением следующих пунктов (8, 10, 12) закройте свои антивирусные программы, игры, текстовые редакторы и любые другие программы, оставьте запущенным только программу-браузер!!![/B][/QUOTE]
[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните[/URL] скрипт в AVZ
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\DOWNLO~1\asquared.ocx','');
QuarantineFile('C:\WINDOWS\system32\awmon.dll','');
QuarantineFile('C:\WINDOWS\bandserv.dll','');
QuarantineFile('C:\WINDOWS\msdn.dll','');
QuarantineFile('PCANotify.dll','');
QuarantineFile('C:\WINDOWS\tlhelp.dll','');
QuarantineFile('C:\WINDOWS\iereport.dll','');
RebootWindows(false);
end.[/CODE]
После перезагрузки пришлите файлы карантина по правилам раздела "Помогите".

Переслал файлы карантина.

[QUOTE=Дмитрий;110410]Переслал файлы карантина.[/QUOTE]

Выполните скрипт:
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\msdn.dll',);
DeleteFile('C:\WINDOWS\tlhelp.dll',);
DeleteFile('C:\WINDOWS\iereport.dll',);
RebootWindows(true);
end.[/code]
not-a-virus:AdWare.Win32.Agent.bn
Остальные файлы чистые. Давайте новые логи.

Сделал новые логи, вроде все по правилам.:embarasse

Rene-gad, вы волшебник вроде больше не выскакивает. Огромное спасибо!!!:D

[QUOTE=Дмитрий;110671]вроде больше не выскакивает. [/QUOTE]Выскочит: В логах ещё полно всякой всячины+наличие отсутствия [COLOR="Red"]какого-либо[/COLOR] антивируса :? .
Попробуйте удалить через Установки/Программы
[QUOTE]Time Sync
Ipwindows
EPOX
URL-Album[/QUOTE]
Сообщите, если какую-то из этих программ Вы знаете/пользуете.
Пофиксите:
[QUOTE]O3 - Toolbar: The bandserv - {A6790AA5-C6C7-4BCF-A46D-0FDAC4EA90EB} - C:\WINDOWS\bandserv.dll
O4 - HKLM\..\Run: [runner1] C:\WINDOWS\retadpu2000352.exe 61A847B5BBF72810329B385577FB01F0B3E35B6638993F4661AA4EBD86D67C56389B284534F310
O4 - HKLM\..\Run: [WindowsUpdate] rundll32.exe "C:\WINDOWS\system32\axffbqmg.dll",realset
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O21 - SSODL: tlhelp - {9306FE4F-12E1-4D59-9F2D-8A99829873FF} - C:\WINDOWS\tlhelp.dll (file missing)
O21 - SSODL: iereport - {C27DA900-E1AC-4D40-AA3A-DBCC03B7DEBA} - C:\WINDOWS\iereport.dll (file missing)[/QUOTE]
Выполните скрипт
[QUOTE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\windows\retadpu2000352.exe','');
QuarantineFile('C:\WINDOWS\system32\axffbqmg.dll','');
QuarantineFile('C:\WINDOWS\SYSTEM32\winxtx32.dll','');
QuarantineFile('C:\WINDOWS\system32\vtutr.dll','');
QuarantineFile('C:\WINDOWS\system32\xxyabax.dll','');
QuarantineFile('C:\WINDOWS\iereport.dll','');
QuarantineFile('C:\WINDOWS\tlhelp.dll','');
QuarantineFile('C:\WINDOWS\system32\ptvalumc.dll','');
QuarantineFile('C:\WINDOWS\msdn.dll','');
RebootWindows(true);
end.[/QUOTE]
после ребута закачайте карантин по правилам и повторите логи.
ПС:
[QUOTE]O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_07\bin\jusched.exe[/QUOTE]Обновите JavaRE

Пользуюсь URL-Album. Ipwindows может и используется.Остальные две мне не знакомы.

сделал.

retadpu2000352.exe - [B]Trojan-Downloader.Win32.Agent.bls[/B]
axffbqmg.dll - [B]not-a-virus:AdWare.Win32.Virtumonde.ar[/B]
winxtx32.dll - [B]Trojan.Win32.Dialer.qn[/B]
xxyabax.dll - [B]not-a-virus:AdWare.Win32.Virtumonde.jp[/B]
ptvalumc.dll - [B]Trojan.Win32.BHO.g[/B]
vtutr.dll - что-то новенькое, подобное AdWare.Win32.Virtumonde

Сейчас скрипт нарисую :)

Вот:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\retadpu2000352.exe');
DeleteFile('C:\WINDOWS\system32\axffbqmg.dll');
DeleteFile('C:\WINDOWS\system32\vtutr.dll');
DeleteFile('C:\WINDOWS\SYSTEM32\winxtx32.dll');
DeleteFile('C:\WINDOWS\system32\xxyabax.dll');
DeleteFile('C:\WINDOWS\system32\ptvalumc.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Откуда взялся axffbqmg.dll - непонятно, в логах его нет.
Зато опять куча новых подозрительных. И похоже не отключено восстановление системы.
Давайте сделаем так:
1. Отключите восстановление системы.
2. Добросовестно выполните пункт 2 Правил.
3. Сделайте новые логи, все три.

Отключил восстановление, сделал новые логи. А что насчет второго пункта правил?

[QUOTE=Дмитрий;110962]Отключил восстановление, сделал новые логи. А что насчет второго пункта правил?[/QUOTE]
__________________________________________________________________
[QUOTE] 2. Перед проверкой желательно скачать утилиту от DrWeb - CureIT! и проверить систему в безопасном режиме. ~5 mb После этого следует просто перегрузиться ( обычный режим).[/QUOTE] ;)
поскольку на Вашем ПК следов какого-либо антивируса не обнаружено, этот пункт хорошо было бы выполнить.

Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\bandserv.dll');
DeleteFile('C:\WINDOWS\system32\xhdxvfpk.dll');
DeleteFile('C:\WINDOWS\system32\avpyxpmp.dll');
DeleteFile('C:\WINDOWS\loader.exe');
DeleteFile('C:\Program Files\Time Sync\time.exe');
DeleteFile('C:\Documents and Settings\Администратор\Local Settings\Temp\mute41.exe');
DeleteFile('C:\WINDOWS\system32\edbyrigy.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
После перезагрузки пофиксите в HijackThis:
[code]
O2 - BHO: (no name) - {55DB983C-BDBF-426f-86F0-187B02DDA39B} - C:\WINDOWS\system32\ptvalumc.dll (file missing)
O2 - BHO: (no name) - {B12A4039-2205-42CE-9FDD-8F968C6ADEF0} - C:\WINDOWS\system32\vtutr.dll (file missing)
O2 - BHO: MSVPS System - {BC305684-8946-4d65-AB1D-10AE276D87ED} - C:\WINDOWS\msdn.dll (file missing)
O2 - BHO: (no name) - {C004A8DA-623A-4409-B6ED-F3E3DA367792} - C:\WINDOWS\system32\xxyabax.dll (file missing)
O2 - BHO: MSVPS System - {D76F06D4-1659-482d-BCB2-3F731BFE0941} - C:\WINDOWS\msdn.dll (file missing)
O4 - HKLM\..\Run: [Time Sync] C:\Program Files\Time Sync\time.exe
O4 - HKLM\..\Run: [setup] rundll32.exe "C:\WINDOWS\system32\edbyrigy.dll",realset
O20 - Winlogon Notify: vtutr - C:\WINDOWS\
O20 - Winlogon Notify: winxtx32 - winxtx32.dll (file missing)
O20 - Winlogon Notify: xxyabax - xxyabax.dll (file missing)
[/code]
и сделайте логи еще раз, надеюсь - последний :)
P.S. Не пакуйте их в один архив, пусть будет 3 файла.

Все сделал. Только не нашел две строчки в [B]hijackthis[/B]

O4 - HKLM\..\Run: [Time Sync] C:\Program Files\Time Sync\time.exe
O4 - HKLM\..\Run: [setup] rundll32.exe "C:\WINDOWS\system32\edbyrigy.dll",realset

[QUOTE=Дмитрий;110991]Все сделал. Только не нашел две строчки в [B]hijackthis[/B][/QUOTE]
Это нормально, значит АВЗ их уже почистил.

Что-то я не пойму, вы логи AVZ делали [B]до [/B]фиксов, что ли?
Все, что я просил фиксить, в них так и болтается.
А в HJT осталось только это, пропустили наверно:
[code]
O2 - BHO: (no name) - {55DB983C-BDBF-426f-86F0-187B02DDA39B} - C:\WINDOWS\system32\ptvalumc.dll (file missing)
O2 - BHO: (no name) - {C004A8DA-623A-4409-B6ED-F3E3DA367792} - C:\WINDOWS\system32\xxyabax.dll (file missing)
[/code]
Проверьте все, что нужно было фиксить и сделайте заново логи, начиная с п.10 правил.

новые логи.

Теперь другое дело! Все чисто.
Надеюсь, проблема больше не проявляется?

Вот эти службы лучше отключить, если не используете:
[code]
O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINDOWS\system32\mnmsrvc.exe
O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Telnet (TlntSvr) - Корпорация Майкрософт - C:\WINDOWS\system32\tlntsvr.exe
[/code]