svchost,explorer.exe

Vegas, показывает неправильный синтаксис скрипта.. попробйуте сами в авз проверить.. он показывает ошибку в строке 9 10 и еще в какой-то...

Исправил delete svc на DeleteService('TDSSserv');
и убрал строку про текст ридер. И скрипт выполнился.

Нахожу ТДСС только в реестре, в контрол сет 002, в сервисах, причем оттуда он не удаляется никак... Вотс.. Мне кажется, вирусы из-за него, так как пока он не появился, свзяка файрвол+др.веб с лицензией не давали сбоев...

[size="1"][color="#666686"][B][I]Добавлено через 25 минут[/I][/B][/color][/size]

Смог Гмером найти тддсерв, как-то удалить сервис, зайти Айссвордом в реестр и удалить оттуда тддсерв. После выхода и захода в систему(не перезагрузка а просто завершение сеанса) тддс не находится ремовером и гмером... Неужто получилось? ставлю компъютер на проверку авз. Это часа 2...

Прилагаю Логи АВЗ и Хайджекзис.

Да, вы правы, скрипт ночью писал - не досмотрел. TDSS вытравили, rk remover еще остался. Выполните скрипт
[code]begin
SearchRootkit(true,true);
SetAVZGuardStatus(true);
StopService('rk_remover');
DeleteFile('C:\WINDOWS\system32\drivers\rk_remover.sys');
DeleteService('rk_remover');
BC_ImportALL;
ExecuteSysClean;
BC_LogFile(GetAVZDirectory + 'boot_cleaner.log');
BC_Activate;
RebootWindows(true);
end.[/code]
Логи АВЗ повторите

А вы уверены, что RK_remover - руткит? этого файла нету в папке драйверс, а люди пишут,что это прога по удалению вирусов создает этот файл...
Ну вроде удалил, можно сделать только лог не лечения\карантина, а лог сбора данных, который быстро идет, прсото завтра работа, нет времени 2 часа ждать.
Спасибо за помощь!

[QUOTE='Coollest;465675']А вы уверены, что RK_remover - руткит? этого файла нету в папке драйверс, а люди пишут,что это прога по удалению вирусов создает этот файл...[/QUOTE]
Вы имеете в виду прогу RKUnhooker ? А вы ей пользовались? Логи приложите оба, вас никто не торопит

Не пользовался, прилагаю Логи!..

Заплатки не ставите и зловреды продолжают лезть через дыры в системе. Вы SP3 принципиально не ставите?
Выполните скрипт
[code]begin
SearchRootkit(true,true);
SetAVZGuardStatus(true);
QuarantineFile('C:\Documents and Settings\Администратор.КОМПЬЮТЕР\Главное меню\Программы\Автозагрузка\ikowin32.exe','');
DeleteFile('C:\Documents and Settings\Администратор.КОМПЬЮТЕР\Главное меню\Программы\Автозагрузка\ikowin32.exe');
DeleteService('uzezodk3');
DeleteFile('C:\WINDOWS\system32\Drivers\uzezodk3.sys');
BC_ImportALL;
ExecuteSysClean;
BC_LogFile(GetAVZDirectory + 'boot_cleaner.log');
BC_Activate;
RebootWindows(true);
end.[/code]
Пофиксите Hijackthis
[code]O4 - Startup: ikowin32.exe[/code]
Закачайте карантин, сделайте новые логи

RK я снес???? Понимаете. я намучался с ключом на компе одном.. И потерял его.. Если есть у вас файлик, чтобыактивацию не требовал, скиньте пожалуйста в личные сообщения, у вас же ту тнаверное запрещено. И какие заплатки ставить после SP3? Сейчас на компе вылетела ошибка SVchost....

Файл сохранён как090912_153908_virus_4aab885cbfde0.zip

[size="1"][color="#666686"][B][I]Добавлено через 2 часа 11 минут[/I][/B][/color][/size]

Итак, поставил свежий SP3. То пофиксил, удалилось, проверил - файлов нету. Дальнейшие действия?

Сделайте новые логи

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]5[/B][*]Обработано файлов: [B]14[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\documents and settings\администратор.компьютер\главное меню\программы\автозагрузка\ikowin32.exe - [B]Backdoor.Win32.Bredolab.uz[/B] ( DrWEB: Trojan.Botnetlog.11, BitDefender: Trojan.Generic.2396307, AVAST4: Win32:BredoLab-K [Trj] )[*] c:\documents and settings\администратор.компьютер\главное меню\программы\автозагрузка\ikowin32.exe - [B]Backdoor.Win32.Bredolab.nx[/B] ( DrWEB: Trojan.Botnetlog.11, BitDefender: Trojan.Generic.2409548, NOD32: Win32/TrojanDownloader.Bredolab.AA trojan, AVAST4: Win32:Trojan-gen )[*] c:\recycled\dc1.exe - [B]Trojan-PSW.Win32.WebMoner.kh[/B] ( DrWEB: Trojan.PWS.Webmonier.137, AVAST4: Win32:Preald-AL [Drp] )[*] c:\system volume information\_restore{15b46a87-1e6e-44fb-b15c-68d90b8d38e8}\rp155\a0048681.exe - [B]Worm.Win32.Bezopi.el[/B] ( DrWEB: Win32.HLLW.Autoruner.6326, BitDefender: Trojan.Generic.CJ.KMD, AVAST4: Win32:MalOb-M [Cryp] )[*] c:\system volume information\_restore{15b46a87-1e6e-44fb-b15c-68d90b8d38e8}\rp157\a0050066.exe - [B]Worm.Win32.Bezopi.el[/B] ( DrWEB: Win32.HLLW.Autoruner.6326, BitDefender: Trojan.Generic.CJ.KMD, AVAST4: Win32:MalOb-M [Cryp] )[*] c:\system volume information\_restore{15b46a87-1e6e-44fb-b15c-68d90b8d38e8}\rp158\a0059983.exe - [B]Worm.Win32.Bezopi.el[/B] ( DrWEB: Win32.HLLW.Autoruner.6326, BitDefender: Trojan.Generic.CJ.KMD, AVAST4: Win32:MalOb-M [Cryp] )[*] c:\system volume information\_restore{15b46a87-1e6e-44fb-b15c-68d90b8d38e8}\rp159\a0060718.exe - [B]Worm.Win32.Bezopi.du[/B] ( DrWEB: Win32.HLLW.Autoruner.6326, BitDefender: Trojan.Generic.CJ.VSE, AVAST4: Win32:Preald-AL [Drp] )[/LIST][/LIST]
Рекомендации:
[LIST=1][*]Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли ![/LIST]