не могу удалить вирусы

[B]Здравствуйте,тут такая проблема,которую не могу решить.Недавно заметил , что когда вставляются флешки и переносные диски антивирус ругается на файл в папке RECYCLER и autorun.inf\удалил их в реестре - svchost\netsvc , больше не появляются. Но сразу после загрузки windows или(вроде именно при подключении интернета) появляются вирусные файлы в WINDOWS\TEMP с различной нумерацией *** .exe и 1буквенный. также вирусы в Temporary Internet Files\content.ie5.

после удаления через некоторое время опять появляются два файла. щас например вот какой C:\Documents and Settings\user\Local Settings\Temporary Internet Files\Content.IE5\JFOC7VQV\sm[1].data.

также интересуют неизвестные файлы типа:
C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\GOBA60AD\63[1].exe . может есть и другие, точно не знаю.
[/B]

Не нужно самостоятельно архивировать текстовую часть логов AVZ.

Ищите нужные архивы в папке LOG и выкладывайте

спасибо за подсказку, заменил.

Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\TEMP\xfgnp.exe','');
QuarantineFile('C:\WINDOWS\Mstray.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-2467145756-4775191312-866191486-8093\syscr.exe','');
DeleteFile('C:\RECYCLER\S-1-5-21-2467145756-4775191312-866191486-8093\syscr.exe');
DeleteFile('C:\WINDOWS\Mstray.exe');
DeleteFile('C:\WINDOWS\TEMP\xfgnp.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.

Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Сделайте новые логи

скрипт выполнил,карантин прислал( 100321_013130_virus_4ba54cc281831.zip \ MD5 5bc745c743c478c171abc66984d76caf ).

(незнаю с этим ли это связано, но иногда ни с того, ни с сего появляются ошибки svchost.exe и explorer.exe (Инструкция по адресу "********" обратилась к памяти по адресу "*********". Память не может быть "read" ...) \ 1раз почемуто синий экран выбило.\щас пока 1ошибка svchost была написании поста.


вот логи:

Выполните скрипт в AVZ:
[code]
begin
ClearQuarantine;
QuarantineFile('C:\WINDOWS\system32\28.scr','');
QuarantineFile('C:\WINDOWS\system32\msvmcls64.exe','');
BC_ImportALL;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите новый карантин согласно приложению 3 правил.

[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]

[QUOTE='God_RippeR;607684']синий экран выбило[/QUOTE]
Если еще раз случится - сообщите код ошибки (STOP 0x00000????).

[QUOTE=Bratez;607694]
Если еще раз случится - сообщите код ошибки (STOP 0x00000????).[/QUOTE]
забыл посмотреть цифру,если случится еще сообщу.

скрипт выполнил, карантин прислал.(100321_101853_virus_4ba5c85d32655.zip \ MD5 1f650487e69d7f6600dc1fa7070e6e05 )
после перезаугрузки
C:\WINDOWS\system32\msvmcls64.exe снова появился но удалился антивирусом (после следующей перезагрузки не появился).

немного позже появилась ошибка svchost,чуть позже перестала работать программа(при сохранении зависает),потом когда нажимаю "мой компьютер" появляется окно но там пусто(и в заголовке устройство не отвечает).эх,только щас закрыл это окно и исчезла панель задач, диспетчер не появляется\alt+tab неработает(только браузер остался). с чем это связано?..

Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','MS Virtual CLS');
DeleteFile('C:\WINDOWS\system32\msvmcls64.exe');
DeleteFile('C:\WINDOWS\system32\28.scr');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.

Сделайте новые логи + лог [URL="http://virusinfo.info/showthread.php?t=40118"]gmer[/URL]

Итак.Скрипт выполнил,компьютер перезагрущился,сделал логи.
Во время проведения лога Gmer решил посмотреть кое-какой файл-зашел в "мой компьютер" опять было пусто..через несколько секунд синий экран и сразу перезагрузка(цифру не успел посмотреть).
После перезагрузки поставил опять Gmer на сканирование для лога,но через некоторое время компьютер завис(на мониторе был только рабочий стол,только изображение..).Пробовал в безопасном режиме-тоже самое(уже успел посмотреть - 0x0000007F (0x0000000d , 0x00000000 , 0x00000000)
Вот часть лога может как-нибудь поможет(кстати вот именно эту строчку "svhqj" удалял в svchost\netsvcs,наверно не все удалил.Также ощущается подвисания и торможения компьютера.
логи:

Во время сканирования gmer вообще лучше ничего не делать

Сохраните текст ниже как cleanup.bat в ту же папку, где находится d8udbsnb.exe (gmer)
[CODE]d8udbsnb.exe -del service svhqj
d8udbsnb.exe -del file "C:\WINDOWS\system32\hvqrbq.dll"
d8udbsnb.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\svhqj"
d8udbsnb.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\svhqj"
d8udbsnb.exe -reboot[/CODE]И запустите cleanup.bat.
Компьютер перезагрузится!

Сделать новый лог gmer.

запустил cleanup.bat,перезагрузился.Когда Gmer делал свою работу, я только наблюдал,но через некоторое время компьютер опять завис и все исчезло(только рабочий стол).После перезагрузки сделал опять сканирование(только часть,тк дальше зависает),но при нажатии save - gmer зависал, сделал с помощью copy...
опять появился неизвестный вирус C:\WINDOWS\system32\16.scr (удалился) и
C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\CIDPRBVP\32[1].exe (не удаляется).

Защитный софт нужно выгружать перед созданием лога gmer

Лог чист. Что сейчас с проблемой?

антивирус ругается на:
C:\WINDOWS\System32\26.exe
и другие подобные файлы
C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\CIDPRBVP\32[1].exe
C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\37PV0QHD\61[1].exe
не удаляются (в унлокере указывается на используемый процесс - svchost)

Делайте такой лог [url]http://virusinfo.info/showpost.php?p=493610&postcount=1[/url]

во время работы Combofix я согласился скачать и установить windows recovery console\была 1 ошибка PEV.cfxxe
позже(после сканирования) после ошибки svchost почему-то перестают нормально работать программы и подвисает компьютер("мой компьютер" пустой\панель управления тоже..)
странно что программка flashget удалилась, ее можно опять устанавливать?и как избавиться от этой ооишбки svchost?
она постоянна вылетает когда включаю интернет(или захожу в браузер).
вот лог:

Посоветуйте - есть ли способ от этого избавиться или лучше переустановить ОС?

[QUOTE='God_RippeR;607897']flashget удалилась[/QUOTE]Можно будет восстановить по завершении лечения [url]http://virusinfo.info/showpost.php?p=514765&postcount=3[/url]

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
[code]KillAll::

File::

Driver::

Folder::

Registry::
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"7594:TCP"=-

FileLook::
c:\windows\HideWin.exe

DirLook::[/code]
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет [B]ComboFix.txt[/B], прикрепите его к сообщению.

После первой работы с комбофикс (через недолгое время),незнаю что случилось,может я чтото сделал,но никак не мог подключить интернет(он как-бы включался но на сайты не заходило\только в локальной сети).Решил переустановить windows xp\такую же,был удивлен что после установки xp и пары программ\драйверов были обнаружены теже вирусы что и были до переустановки.Но,удалились антивирусом и больше не появлялись, ошибка svchost пока была 1 раз и также компьютер завис...или это с программами чтонибудь?
сделал комбофиксом что вы говорили\и можно восстанавливать файлы регистра и остальные(что в Qoobox)?
лог:

Хм. выдало ошибку explorer.и интернет перестал опять работать как в тот раз.Незнаю откуда появилось еще одно подключение в папке "Internet" удалил \перезагрузил-заработало..


и что насчет:
это вирусы или программы конфликтуют или еще что?
и можно восстанавливать файлы реестра который удалил Qoobox,если они безопасны(а то кроме удаления программ настройки сбрасываются\пенель управления теперь не выдвигается вправо из пуска)-или такие вещи уже не восстановить?

(в основном беспокоит ошибка svchost.exe после которой сбрасыватеся интернет соединение(вид курсора и панели задач(windowsblinds\cursorXP)) после перезагрузки в скором времени опять svchost.exe ошибка..

[QUOTE='God_RippeR;608267']выдало ошибку explorer.и интернет перестал опять работать как в тот раз[/QUOTE]
Обновления безопасности на систему все установлены?
Похоже, что нет:
[QUOTE='God_RippeR;608267']беспокоит ошибка svchost.exe после которой сбрасыватеся интернет соединение(вид курсора и панели задач(windowsblinds\cursorXP)) после перезагрузки в скором времени опять svchost.exe ошибка[/QUOTE]