Помогите излечить вирус

Юзверь обратился ко мне с вопросом что система виснет! Я прогнал нодом там оказалось несколько троянов, которые были удалены! Но передо мной он (юзер) успел еще кучу файлов поудалять! Короче остался один "C:\WINDOWS\ieupdr.exe - модифицированный Win32/TrojanDownloader.Tiny.NJ троян" и в системном трее не отовражаются значки локалки и USB (при подключении флешки)!
Подскажите как вылечить и что сделать для реанимирования системы?
Переустанавливать очень нежелательно! С помощью AVZ сделал исследование системы - результат в приложенном файле!

1.В avz [URL="http://virusinfo.info/showthread.php?t=7239"]выполнить скрипт[/URL]:
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('%WinDir%\Temp\startdrv.exe','');
QuarantineFile('%Windir%\system32\drivers\runtime.sys','');
QuarantineFile('%Windir%\system32\drivers\runtime2.sys','');
QuarantineFile('%Windir%\system32\drivers\ip6fw.sys','');
DeleteFile('%Windir%\Temp\startdrv.exe');
DeleteFile('%Windir%\system32\drivers\runtime2.sys');
DeleteFile('%Windir%\system32\drivers\runtime.sys');
BC_DeleteSvc('runtime');
BC_DeleteSvc('runtime2');
QuarantineFile('C:\WINDOWS\system32\ramtmb.dll','');
QuarantineFile('C:\WINDOWS\system32\d4ghggf4g.dll','');
QuarantineFile('C:\WINDOWS\system32\jkd845jg.dll','');
QuarantineFile('sysfldr.dll','');
QuarantineFile('C:\temp\winlogan.exe','');
QuarantineFile('C:\Documents and Settings\All Users\Документы\Settings\partnership.dll','');
QuarantineFile('\??\C:\WINDOWS\system32\Drivers\TSKNF601.SYS','');
QuarantineFile('Tba14.sys','');
DeleteFile('C:\Documents and Settings\All Users\Документы\Settings\partnership.dll');
DeleteFile('C:\temp\winlogan.exe');
DeleteFile('sysfldr.dll');
DeleteFile('C:\WINDOWS\system32\jkd845jg.dll');
DeleteFile('C:\WINDOWS\system32\d4ghggf4g.dll');
DeleteFile('C:\WINDOWS\system32\ramtmb.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/CODE]
Компьютер перезагрузится.

2.Выслать карантин согласно приложению 3 [URL="http://virusinfo.info/showthread.php?t=1235"]правил[/URL]

[quote=zerocorporated;150715]1.В avz [URL="http://virusinfo.info/showthread.php?t=7239"]выполнить скрипт[/URL]:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('%WinDir%\Temp\startdrv.exe','');
QuarantineFile('%Windir%\system32\drivers\runtime.sys','');
QuarantineFile('%Windir%\system32\drivers\runtime2.sys','');
QuarantineFile('%Windir%\system32\drivers\ip6fw.sys','');
DeleteFile('%Windir%\Temp\startdrv.exe');
DeleteFile('%Windir%\system32\drivers\runtime2.sys');
DeleteFile('%Windir%\system32\drivers\runtime.sys');
BC_DeleteSvc('runtime');
BC_DeleteSvc('runtime2');
QuarantineFile('C:\WINDOWS\system32\ramtmb.dll','');
QuarantineFile('C:\WINDOWS\system32\d4ghggf4g.dll','');
QuarantineFile('C:\WINDOWS\system32\jkd845jg.dll','');
QuarantineFile('sysfldr.dll','');
QuarantineFile('C:\temp\winlogan.exe','');
QuarantineFile('C:\Documents and Settings\All Users\Документы\Settings\partnership.dll','');
QuarantineFile('\??\C:\WINDOWS\system32\Drivers\TSKNF601.SYS','');
QuarantineFile('Tba14.sys','');
DeleteFile('C:\Documents and Settings\All Users\Документы\Settings\partnership.dll');
DeleteFile('C:\temp\winlogan.exe');
DeleteFile('sysfldr.dll');
DeleteFile('C:\WINDOWS\system32\jkd845jg.dll');
DeleteFile('C:\WINDOWS\system32\d4ghggf4g.dll');
DeleteFile('C:\WINDOWS\system32\ramtmb.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
Компьютер перезагрузится.

2.Выслать карантин согласно приложению 3 [URL="http://virusinfo.info/showthread.php?t=1235"]правил[/URL][/quote]
пока я бегал юзер успел воспользоваться адваре и часть поудалять!
Да, и к выше перечисленным проблемам еще и переключатель языков только с клавиатуры неработает!

После выполнения скрипта выполните полную проверку [URL="ftp://ftp.drweb.com/pub/drweb/cureit/cureit.exe"]CureIt[/URL] и повторите логи [B][URL="http://virusinfo.info/showthread.php?t=1235"]по правилам[/URL][/B]

[quote=zerocorporated;150721]После выполнения скрипта выполните полную проверку [URL="ftp://ftp.drweb.com/pub/drweb/cureit/cureit.exe"]CureIt[/URL] и повторите логи [B][URL="http://virusinfo.info/showthread.php?t=1235"]по правилам[/URL][/B][/quote]
какие логи: CureIt или AVZ?

Логи AVZ + лог hijackThis

Вот, наконец все сделал, шлю логи!
Да, CureIt нашел несколько файлов, я нажимал лечить, но он их удалил, поэтому шлю и его лог!

пофиксите...
[code]
O20 - Winlogon Notify: sysfldr - C:\WINDOWS\
[/code]
выполните скрипт ...
[code]
begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
QuarantineFile('C:\WINDOWS\system32\ramtmb.dll','');
DeleteFile('C:\WINDOWS\system32\ramtmb.dll');
DelCLSID('C4DE5B15-4FFE-4c02-8CB3-CAD24A33562B');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
сделайте новые логи...

F2 - REG:system.ini: UserInit=userinit.exe, -- надо профикстить в hijackthis

Профиксил, применил скрипт, а система все равно если сетевой кабель подключен - виснет. Отключаю сетевой кабель, перезапускаю (жестко) - запускается, а затем только кабель подключаю! Короче, пока что ничего не получилось! Повторить все занового и опять вам логи прислать?

Да, пришлите логи...

Вот новые логи

сделайте лог [url]http://virusinfo.info/showthread.php?t=10387[/url]

[quote=V_Bond;150776]сделайте лог [URL]http://virusinfo.info/showthread.php?t=10387[/URL][/quote]
А я так и непонял, в каком режиме надо логи сделать?

В защищеннном (safe mode)

готово

выполните скрипт...
[code]
begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
QuarantineFile('system32\DRIVERS\Arp1349.sys','');
QuarantineFile('Arp1349.sys','');
BC_QrSvc('Arp1349');
BC_Importall;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил ...

закачал

[b]Trojan-Proxy.Win32.Agent.nu[/b] C:\WINDOWS\system32\DRIVERS\Arp1349.sys

И что сделать надо?

[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
BC_QrFile('C:\WINDOWS\system32\DRIVERS\Arp1349.sys');
BC_DeleteFile('C:\WINDOWS\system32\DRIVERS\Arp1349.sys');
BC_QrSvc('Arp1349');
BC_DeleteSvc('Arp1349');
BC_Activate;
RebootWindows(true);
end.
[/code]

выполните скрипт .... и повторете лог в SAFE MODE

сори, неувидел сообщение

и это сделал

в логах чисто ...
что с вашими проблемами ?

:) торможу, еще не смотрел!

>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба TlntSvr (Telnet)
>> Службы: разрешена потенциально опасная служба Alerter (Оповещатель)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>>> Безопасность: В IE разрешены автоматические запросы элементов управления ActiveX

Что из этого Вам не нужно?

С этим я уже разберусь!Всем огромное спасибо за этот комп, но завтра будет еще один - с totour-ом!
Мне еще надо как то восстановить значки в системном трее:
- сетка - обе галочки стоят, а значка нет;
- при подключении флешки - нет значка с зеленой стрелкой

Попробуйте:
[code]begin
ExecuteRepair(5);
ExecuteRepair(6);
ExecuteRepair(8);
ExecuteRepair(16);
end.[/code]

Я это делал уже, сделал опять - результата никакого!:embarasse

[QUOTE=dimon8033;150807]
- сетка - обе галочки стоят, а значка нет;
- при подключении флешки - нет значка с зеленой стрелкой[/QUOTE]
не совсем понял .... а сеть работает и флешка ... просто не отображается ?

совершенно верно!

Проверьте в Свойствах Панели задач, не установлено ли у вас скрытие всех значков в трее?

посмотри пожалуста мой hijackthis.log - там просто что то лишнее удалилось - это уже я ничаяно!

[size="1"][color="#666686"][B][I]Добавлено через 3 минуты[/I][/B][/color][/size]

[quote=V_Bond;150813]Проверьте в Свойствах Панели задач, не установлено ли у вас скрытие всех значков в трее?[/quote]
Не, там все нормально!

попробуйте пофиксить ...
[code]
O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
[/code]
это строка уберет из автозагрузки нод ...
перегрузитесь .... если проблема решилась значит в нем дело ...
если нет ...
View the list of backups .... восстановите данную стороку .... иначе переустановка нод ...

профиксил, перезапустил - не помогло! Восстановил и вообще снес его - результат тот же!

[URL="http://www.kellys-korner-xp.com/regs_edits/xp_taskbar_desktop_fixall.vbs"]скачайте[/URL] запустите ...

не помогло, однако!:'-( кто нить помогите!

запущены ли службы :
-служба обнаружения SSDP
-узел универсальных PnP устройств

[quote]Вчера 19:52 rubin >> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)...[/quote]
Я ничнго пока не отключал!