Удалён ли вирус?

Здравствуйте!
Обращаюсь к Вам второй раз,так как ранее получил от вас столь необходимую мне помощь,за что искренне Вам признателен.
У меня следующая проблема:Каперский стёр вирус троян Banker,потребовал перезпгрузки компьютера,что и было выполнено,однако после этого при запуске начало выскакивать чёрное окно C/.../Uninstall,после его отключения Касперский запускает автоматически сканирование и находит удалённый ранее троян,требует немедленно его стереть и,если выполняешь это требование,перезапускает винду.После перестартовки всё повторяется снова:чёрное окно,запуск сканирования,обнаружение вируса и требование перезапуска.Теперь непонятно,стёрт ли троян или нет.Что мне делать?



[ATTACH]10095[/ATTACH]

[ATTACH]10096[/ATTACH]

[ATTACH]10097[/ATTACH]

[QUOTE=Nikulin_ho;109859]
Обращаюсь к Вам второй раз[/QUOTE]
Любезный Nikulin_ho, когда же будем логи по-правилам прикреплять? :?
Выполните скрипт
[CODE]begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('\??\arprmdg5.sys','');
DeleteFile('\??\arprmdg5.sys');
BC_DeleteFile('\??\arprmdg5.sys');
BC_ImportDeletedList;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.[/CODE]
после перезагрузки закачайте карантин и сделайте новые логи по правилам :
[URL="http://virusinfo.info/showthread.php?t=1235"]по-русски [/URL]или
[URL="http://freenet-homepage.de/rene-gad/AVZAnleitung/AVZ4.html"]по-немецки[/URL]

В карантине несколько файлов,какой именно нужно прислать?

[QUOTE=Nikulin_ho;109893]В карантине несколько файлов,какой именно нужно прислать?[/QUOTE]
Все. Нужно с помощью пакера WinZip, WinRar etc. создать из папки [B]2007-05-15 [/B]архив в формате [B]ZIP[/B], который защищен паролем [B]virus[/B], назвать его - все равно как, напр. [B]nikulin_ho.zip [/B], и закачать его [URL="http://virusinfo.info/upload_virus.php?tid=9738"]по ссылке[/URL]

Отсылаю запрошенные файлы,надеюсь теперь всё правильно

[QUOTE=Nikulin_ho;109902]Отсылаю запрошенные файлы,надеюсь теперь всё правильно[/QUOTE]
что касается логов - да. Карантин ждемс :).
После закачки карантина: Пофиксите в HJT
[QUOTE]O2 - BHO: H - {5142FE17-20E6-4121-A925-A4C6385CDDAA} - C:\WINDOWS\system32\rem1.dll[/QUOTE]
Выполните скрипт
[CODE]begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('\??\rem1.dll','');
DeleteFile('\??\rem1.dll');
BC_DeleteFile('\??\rem1.dll');
BC_ImportDeletedList;
BC_Activate;
ExecuteSysClean;
RebootWindows(false);
end.[/CODE]
после перезагрузки закачайте карантин и сделайте новые логи по правилам

При закачке архива выдаётся ошибка,что делаю не так?

[QUOTE=Nikulin_ho;109913]При закачке архива выдаётся ошибка,что делаю не так?[/QUOTE]
какая ошибка?

один или несколько файлов не могут быть отправлены.

[QUOTE=Nikulin_ho;109918]один или несколько файлов не могут быть отправлены.[/QUOTE]
Я Вам свое мыло в личку послал. Вышлите [B]запароленный карантин[/B] на него.

Выполните такой скрипт:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\rem1.dll');
DeleteFile('C:\t12eqweqw3.exe');
DeleteFile('C:\Dokumente und Einstellungen\Sergej\Lokale Einstellungen\Temp\HPSU89GO.48G\UpdateDatFix.exe');
DeleteFile('C:\Dokumente und Einstellungen\Sergej\Lokale Einstellungen\Temp\g67f443d6gs.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
После перезагрузки сделайте новые логи.
Imho, этим все и ограничится.

Результаты последнего сканирования

[QUOTE=Nikulin_ho;109947]Результаты последнего сканирования[/QUOTE]
в файле C:\WINDOWS\system32\arprmdg5.sys
[QUOTE]AntiVir 7.4.0.15 05.15.2007 TR/Rootkit.Gen
Authentium 4.93.8 05.14.2007 W32/Goldun.gen3
AVG 7.5.0.467 05.15.2007 BackDoor.Generic6.AXQ
eTrust-Vet 30.7.3634 05.15.2007 Win32/Starimp!generic
Fortinet 2.85.0.0 05.15.2007 Haxdor!tr
F-Prot 4.3.2.48 05.14.2007 W32/Goldun.gen3
Microsoft 1.2503 05.15.2007 Backdoor:Win32/Haxdoor
NOD32v2 2267 05.15.2007 probably a variant of Win32/Rootkit.Agent.AT
Sophos 4.17.0 05.11.2007 Troj/Haxdor-Gen
Sunbelt 2.2.907.0 05.12.2007 Trojan.Win32.HideDrv.gen
Webwasher-Gateway 6.0.1 05.15.2007 Trojan.Rootkit.Gen[/QUOTE]
в файле C:\Dokumente und Einstellungen\Sergej\Lokale Einstellungen\Temp\g67f443d6gs.exe
[QUOTE]AntiVir 7.4.0.15 05.15.2007 TR/Crypt.NSPM.Gen
Avast 4.7.997.0 05.15.2007 Win32:Small-AMI
BitDefender 7.2 05.15.2007 Trojan.Downloader.Femad.XA
CAT-QuickHeal 9.00 05.15.2007 (Suspicious) - DNAScan
DrWeb 4.33 05.15.2007 Trojan.DownLoader.4995
eSafe 7.0.15.0 05.15.2007 suspicious Trojan/Worm
Ewido 4.0 05.15.2007 Downloader.Small
Fortinet 2.85.0.0 05.15.2007 suspicious
Ikarus T3.1.1.7 05.15.2007 Backdoor.Win32.PcClient.GV
Microsoft 1.2503 05.15.2007 VirTool:Win32/Obfuscator.A
NOD32v2 2267 05.15.2007 probably a variant of Win32/TrojanDownloader.Small.AMB
Panda 9.0.0.4 05.15.2007 Suspicious file
Sunbelt 2.2.907.0 05.12.2007 VIPRE.Suspicious
VBA32 3.12.0 05.15.2007 Trojan.DownLoader.4995
Webwasher-Gateway 6.0.1 05.15.2007 Trojan.Crypt.NSPM.Gen[/QUOTE]
в файле C:\t12eqweqw3.exe
[QUOTE]AntiVir 7.4.0.15 05.15.2007 TR/Crypt.NSPM.Gen
Avast 4.7.997.0 05.15.2007 Win32:Small-AMI
BitDefender 7.2 05.15.2007 Trojan.Downloader.Femad.XA
CAT-QuickHeal 9.00 05.15.2007 (Suspicious) - DNAScan
DrWeb 4.33 05.15.2007 Trojan.DownLoader.4995
eSafe 7.0.15.0 05.15.2007 suspicious Trojan/Worm
Ewido 4.0 05.15.2007 Downloader.Small
Fortinet 2.85.0.0 05.15.2007 suspicious
Ikarus T3.1.1.7 05.15.2007 Backdoor.Win32.PcClient.GV
Microsoft 1.2503 05.15.2007 VirTool:Win32/Obfuscator.A
NOD32v2 2267 05.15.2007 probably a variant of Win32/TrojanDownloader.Small.AMB
Panda 9.0.0.4 05.15.2007 Suspicious file
Sunbelt 2.2.907.0 05.12.2007 VIPRE.Suspicious
VBA32 3.12.0 05.15.2007 Trojan.DownLoader.4995
Webwasher-Gateway 6.0.1 05.15.2007 Trojan.Crypt.NSPM.Gen
[/QUOTE]
в файле C:\Dokumente und Einstellungen\Sergej\Lokale Einstellungen\Temp\HPSU89GO.48G\UpdateDatFix.exe
[QUOTE]Webwasher-Gateway 6.0.1 05.15.2007 Win32.Vulnerable.gen!High (suspicious)[/QUOTE] так что можно считать чистым.
Мдя, а коллеги из ЛК сегодня, судя по всему, празднуют что-то. Я ведь поначалу там проверил, пока очередь на virustotal подошла. >:(
@Bratez
так что насчет байкальской воды - зто я был неправ, права была моя интуиция :)

посылаю последние результаты после действий,указанных Братцем.Карантин пуст.

Уважаемый Rene-gad,что делать с вашей информацией?

[QUOTE=Nikulin_ho;109958]посылаю последние результаты после действий,указанных Братцем[/QUOTE]
Зловреда не обнаружил. Но посоветую Вам еще прочитать [URL="http://faq.underflow.de/"]вот это[/URL].
[QUOTE]Уважаемый Rene-gad,что делать с вашей информацией?[/QUOTE]
не нужно так официально :D. Информацию примите к сведению, карантин отошлите на [EMAIL="[email protected]"][email protected][/EMAIL], прочитайте статью по ссылке вверху и следуйте заветам главы: Wie kann ich denn nun mein System vernünftig absichern?

Уважаемый Rene-gad!Компьтер работает нормально,но Касперский постоянно сигналит о заражении Trojan-Spy.Win.32.Banker.cnq.Почему не исчезает это сообщение.Может быть мне перегрузить Винду?Кроме того при запуске постоянно выскакивает чёрное окно Uninstall.sistem32.ntvdm.exe.Что это такое?

Кроме того при запуске постоянно выскакивает чёрное окно C\...\Uninstall.sistem32.ntvdm.exe.Что это такое?

Выполните скрипт:
[code]begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.2649_x-ww_aac16c8b\comctl32.dll','');
QuarantineFile('appmgmts.dll','');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.[/code]
Карантин по правилам.

Уважаемый Nikulin_ho
пожалуйста не прибегайте к личным обращениям в форуме, это не хорошо.
Выполните скрипт, который напсал уважаемый коллега Alex_Goodwin.