Уже знакомые всем вирусы Instmtv.exe, jjdrive32.exe и scdll.exe

Уже месяца три мучаюсь, помогите, пжлст.

Здравствуйте!
Отключите восстановление системы!
Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. [URL="http://virusinfo.info/showthread.php?t=7239"]Подробнее...[/URL]):
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\system32\instmtv.exe');
SetServiceStart('pxkbf', 4);
StopService('pxkbf');
QuarantineFile('C:\WINDOWS\system32\38.scr','');
QuarantineFile('C:\WINDOWS\system32\50.scr','');
QuarantineFile('C:\WINDOWS\system32\48.scr','');
QuarantineFile('C:\WINDOWS\system32\scdll.exe','');
QuarantineFile('C:\WINDOWS\jjdrive32.exe','');
QuarantineFile('C:\Program Files\setup.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\pxkbf.sys','');
QuarantineFile('c:\windows\system32\instmtv.exe','');
DeleteFile('C:\WINDOWS\system32\drivers\pxkbf.sys');
DeleteFile('C:\Program Files\setup.exe');
DeleteFile('C:\WINDOWS\jjdrive32.exe');
DeleteFile('C:\WINDOWS\system32\Instmtv.exe');
DeleteFile('C:\WINDOWS\system32\scdll.exe');
DeleteFile('C:\WINDOWS\system32\48.scr');
DeleteFile('C:\WINDOWS\system32\50.scr');
DeleteFile('C:\WINDOWS\system32\38.scr');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Update Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Update Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','558');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','647');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','110');
DeleteService('pxkbf');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
Executerepair(1);
Executerepair(6);
RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
ExecuteWizard('TSW', 2, 2, true);
RebootWindows(true);
end.
[/code]
После выполнения скрипта компьютер перезагрузится.
закачайте карантин по ссылке [B][COLOR=Red]Прислать запрошенный карантин[/COLOR][/B] в шапке Вашей темы (Приложение 3 правил).
Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению.

Стыдно признаться, но у меня ума не хватает отключить восстановление системы.

[URL=http://www.radikal.ru][IMG]http://s54.radikal.ru/i146/1005/ea/22791531b320.jpg[/IMG][/URL]

Пока выполните скрипт и сделайте новые логи.

Карантин отправлен, новые логи сделаны, однако в процессе возникла проблема с клавиатурой: Windows не удалось запустить это устройство, поскольку информация о его конфигурации в реестре неполна или повреждена. (Код 19)
Удаление и переустановка драйвера ничего не дали, в реестр лезть опасаюсь. Что делать?

Выполните скрипт
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\27.scr','');
QuarantineFile('C:\WINDOWS\system32\31.scr','');
QuarantineFile('C:\WINDOWS\system32\37.scr','');
QuarantineFile('C:\WINDOWS\system32\84.scr','');
QuarantineFile('C:\WINDOWS\system32\12.scr','');
QuarantineFile('c:\windows\system32\instmtv.exe','');
TerminateProcessByName('c:\windows\system32\instmtv.exe');
DeleteFile('c:\windows\system32\instmtv.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
DeleteFile('C:\WINDOWS\system32\12.scr');
DeleteFile('C:\WINDOWS\system32\84.scr');
DeleteFile('C:\WINDOWS\system32\37.scr');
DeleteFile('C:\WINDOWS\system32\31.scr');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('SCU', 2, 2, true);
ExecuteWizard('PRT', 2, 2, true);
ExecuteWizard('TSW', 2, 2, true);
RebootWindows(true);
end.[/CODE]закачайте карантин по ссылке [B][COLOR=Red]Прислать запрошенный карантин[/COLOR][/B] в шапке Вашей темы (Приложение 3 правил).
Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению.

Карантин отправлен, логи сделаны. Параллельно диагностирую второй комп, где ситуация аналогична (только диагностирую, не вставляю никаких скриптов из этой темы). Логи со второго компа здесь же выложить или новую тему создать?

[QUOTE='shem_ar;636189']Логи со второго компа здесь же выложить или новую тему создать?[/QUOTE]Новый компьютер - новая тема

Сделайте лог [url]http://virusinfo.info/showpost.php?p=493610&postcount=1[/url]

[B]thyrex[/B],
попробую, хотя в прошлый раз у меня ума не хватило :(

[size="1"][color="#666686"][B][I]Добавлено через 17 минут[/I][/B][/color][/size]

Не, все-таки у меня ума не хватает комбофиксом воспользоваться :(
Полоса закачки прокручивается и все. С переименованной прогой та же фигня :(

[QUOTE='shem_ar;636199']Полоса закачки прокручивается и все[/QUOTE]Закачки чего?

[B]thyrex[/B],
ммм, может быть, я неправильно выразилась? Мозг уже отказывается работать, воспользуюсь лексиконом блондинки:
Скачиваю комбофикс, сохраняю на рабочий стол, пытаюсь открыть - возникает зеленый прогрессбар, проходит до конца, исчезает и ничего больше не происходит. С переименованной прогой тоже самое.

Сделайте лог [url]http://virusinfo.info/showpost.php?p=457118&postcount=1[/url]

Лог Малаваром сделан.

Выполните скрипт в AVZ
[code]begin
QuarantineFile('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\R3E6C084\hh[1].exe','');
QuarantineFile('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\GI03WYXI\bn[1].jpg','');
QuarantineFile('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\3GNC2WJ2\tkhowrof[1].exe','');
QuarantineFile('C:\WINDOWS\hosts','');
QuarantineFile('C:\WINDOWS\system32\hosts','');
QuarantineFile('C:\WINDOWS\system32\71.scr','');
QuarantineFile('C:\WINDOWS\system32\70.exe','');
QuarantineFile('C:\WINDOWS\system32\66.exe','');
QuarantineFile('C:\WINDOWS\system32\64.exe','');
QuarantineFile('C:\WINDOWS\system32\55.scr','');
QuarantineFile('C:\WINDOWS\system32\51.scr','');
QuarantineFile('C:\WINDOWS\system32\46.scr','');
QuarantineFile('C:\WINDOWS\system32\27.scr','');
QuarantineFile('C:\WINDOWS\system32\13.scr','');
QuarantineFile('C:\WINDOWS\system32\03.exe','');
QuarantineFile('C:\4x8q2y6t2e6.exe','');
QuarantineFile('C:\WINDOWS\system32\Instmtv.exe','');
QuarantineFile('C:\WINDOWS\system32\scdll.exe','');
end. [/code]

Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

[URL="http://virusinfo.info/showpost.php?p=493584&postcount=2"]Удалите в МВАМ[/URL]
[CODE]Зараженные параметры в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\70 (Trojan.Dropper) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\66 (Trojan.Dropper) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\03 (Trojan.Dropper) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\microsoft driver setup (Trojan.VirTool) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\microsoft driver setup (Trojan.VirTool) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\64 (Trojan.Dropper) -> No action taken.

Зараженные папки:
C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811 (Trojan.Agent) -> No action taken.
C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1455 (Worm.AutoRun) -> No action taken.

Зараженные файлы:
C:\WINDOWS\system32\scdll.exe (Trojan.Dropper) -> No action taken.
C:\WINDOWS\system32\Instmtv.exe (Trojan.VirTool) -> No action taken.
C:\4x8q2y6t2e6.exe (Trojan.VirTool) -> No action taken.
C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\3GNC2WJ2\tkhowrof[1].exe (Trojan.Dropper) -> No action taken.
C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\GI03WYXI\bn[1].jpg (Trojan.VirTool) -> No action taken.
C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\R3E6C084\hh[1].exe (Trojan.VirTool) -> No action taken.
C:\WINDOWS\system32\03.exe (Trojan.Dropper) -> No action taken.
C:\WINDOWS\system32\13.scr (Trojan.VirTool) -> No action taken.
C:\WINDOWS\system32\27.scr (Trojan.VirTool) -> No action taken.
C:\WINDOWS\system32\46.scr (Trojan.VirTool) -> No action taken.
C:\WINDOWS\system32\51.scr (Trojan.VirTool) -> No action taken.
C:\WINDOWS\system32\55.scr (Trojan.VirTool) -> No action taken.
C:\WINDOWS\system32\64.exe (Trojan.Dropper) -> No action taken.
C:\WINDOWS\system32\66.exe (Trojan.Dropper) -> No action taken.
C:\WINDOWS\system32\70.exe (Trojan.Dropper) -> No action taken.
C:\WINDOWS\system32\71.scr (Trojan.VirTool) -> No action taken.
D:\programms\avz4\avz4\Quarantine\2010-05-12\avz00001.dta (Trojan.VirTool) -> No action taken.
D:\programms\avz4\avz4\Quarantine\2010-05-12\avz00002.dta (Trojan.VirTool) -> No action taken.
D:\programms\avz4\avz4\Quarantine\2010-05-12\avz00003.dta (Trojan.VirTool) -> No action taken.
D:\programms\avz4\avz4\Quarantine\2010-05-12\avz00006.dta (Trojan.VirTool) -> No action taken.
D:\programms\avz4\avz4\Quarantine\2010-05-12\avz00007.dta (Trojan.VirTool) -> No action taken.
D:\programms\avz4\avz4\Quarantine\2010-05-12\avz00008.dta (Trojan.VirTool) -> No action taken.
D:\programms\avz4\avz4\Quarantine\2010-05-12\avz00009.dta (Trojan.VirTool) -> No action taken.
D:\programms\avz4\avz4\Quarantine\2010-05-12\avz00010.dta (Trojan.VirTool) -> No action taken.
D:\programms\avz4\avz4\Quarantine\2010-05-12\avz00011.dta (Trojan.VirTool) -> No action taken.
D:\programms\avz4\avz4\Quarantine\2010-05-12\avz00012.dta (Trojan.VirTool) -> No action taken.
D:\programms\avz4\avz4\Quarantine\2010-05-12\avz00013.dta (Trojan.VirTool) -> No action taken.
D:\programms\avz4\avz4\Quarantine\2010-05-12\avz00014.dta (Trojan.VirTool) -> No action taken.
C:\WINDOWS\logfile32.txt (Malware.Trace) -> No action taken.
C:\WINDOWS\system32\hosts (Trojan.Agent) -> No action taken.
C:\WINDOWS\hosts (Trojan.Agent) -> No action taken.[/CODE]Сделайте новые логи AVZ и МВАМ

[B]thyrex[/B],
немного не поняла, где в МВАМ код вставлять :(

[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]

Карантин отправлен.

[QUOTE='shem_ar;636378']немного не поняла, где в МВАМ код вставлять[/QUOTE]Вы по ссылке выше переходили? Там написано, как это выполнять

[B]thyrex[/B],
Сижу туплю, но никак не могу понять, при чем там код :(

Указанные в окне [B]Код[/B] строки нужно удалить

Это - то, что надо удалять?

Ответ над Вашим сообщением