Avast ругается на BN1.tmp и tcpsr.sys

Avast ругается на BN1.tmp и tcpsr.sys, утилита CureIt! то же мало чем помогла:) файлы удаляет, но после перезагрузки как только подключаешься к сети, все обнаруживается заново BN1,2,3,4 и т.д.

Вот логи

Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('E:\DOCUME~1\Alex\LOCALS~1\Temp\CoXcZ4q8.sys','');
QuarantineFile('E:\WINDOWS\System32\Cpl32ver.exe','');
QuarantineFile('E:\WINDOWS\system32\nethesen.dll','');
QuarantineFile('cdmovirt.dll','');
DelBHO('{140BD8E3-C167-11D4-B4A3-080000180323}');
DeleteFile('cdmovirt.dll');
DeleteFile('E:\WINDOWS\system32\nethesen.dll');
DeleteFile('E:\WINDOWS\System32\Cpl32ver.exe');
DeleteFile('E:\DOCUME~1\Alex\LOCALS~1\Temp\CoXcZ4q8.sys');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/CODE]

После перезагрузки:
- [url="http://virusinfo.info/showthread.php?t=10025"] Очистите [/url]темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным [B]только Internet Explorer[/B]. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы.
- Прикрепите логи к новому сообщению.

Свежие логи:)

-[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/URL]
[CODE]R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://fwu.yaol.ru/index.html
F2 - REG:system.ini: UserInit=E:\WINDOWS\System32\userinit.exe
O20 - Winlogon Notify: nethesen - E:\WINDOWS\
[/CODE]
Больше ничего плохого не вижу.
Какие проблемы остались?

Спасибо огромное, вроде бы больше ни каких проблем не наблюдаю:)
__http://fwu.yaol.ru/index.html Это домашняя провайдера:)

[QUOTE=Fanbeer;284844]
__http://fwu.yaol.ru/index.html Это домашняя провайдера:)[/QUOTE]Просто подозрительной показалась :) Да и не нужно оно в проводнике.

Дико извиняюсь, но опять стала вылезать эта дрянь tcpsr.sys,:( пробовал действовать прежним сценарием…… не помогло. Вообще можно как то раз и на всегда закрыться от этой заразы?

Вот последние логи.

[QUOTE]опять стала вылезать эта дрянь tcpsr.sys[/QUOTE]
Да нет, что то новенькое у Вас.
[QUOTE]Вообще можно как то раз и на всегда закрыться от этой заразы? [/QUOTE]
Смените операционную систему ...8)


Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('E:\WINDOWS\iexplorer.exe','');
QuarantineFile('e:\windows\system32\drivers\tcpsr.sys','');
QuarantineFile('tcpsr.sys','');
QuarantineFile('E:\WINDOWS\System32\rs32net.exe','');
QuarantineFile('E:\WINDOWS\msauc.exe','');
DeleteService('tcpsr');
DeleteFile('E:\WINDOWS\msauc.exe');
DeleteFile('E:\WINDOWS\System32\rs32net.exe');
DeleteFile('e:\windows\system32\drivers\tcpsr.sys');
DeleteFile('tcpsr.sys');
DeleteFile('E:\WINDOWS\iexplorer.exe');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('tcpsr');
BC_Activate;
RebootWindows(true);
end.
[/CODE]

После перезагрузки:
- [url="http://virusinfo.info/showthread.php?t=10025"] Очистите [/url]темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным [B]только Internet Explorer[/B]. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы.
- Прикрепите логи к новому сообщению.

Все ровно Аваст орет:( вот логи
Эта же зараза, по ходу ни с того ни с сего отправляет систему на перезагрузку периодически , я грешил на Outpost но оказалось дело не в нем

Скачайте [URL="http://virusinfo.info/showthread.php?t=17109"]IceSword [/URL], поищите и скопируйте файлы:
[CODE]E:\WINDOWS\System32\Drivers\ati5wcxx.sys
[/CODE]
Скопированные с помощью IceSword файлы сохраните в карантине (Приложение 2 правил).
Потом удалите их с помощью [URL="http://virusinfo.info/showthread.php?t=17228"]force delete[/URL]
Если Вы какие-то файлы не обнаружите - переходите к следующему шагу.

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('E:\WINDOWS\System32\Drivers\ati5wcxx.sys','');
DeleteService('ati5wcxx');
DeleteFile('E:\WINDOWS\System32\Drivers\ati5wcxx.sys');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('ati5wcxx');
BC_Activate;
RebootWindows(true);
end.
[/CODE]

После перезагрузки:
- Сделайте повторные логи по правилам.
- Закачайте карантин по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы.
- Прикрепите логи к новому сообщению.

Этот гад как ЛЕНИН в мавзолеи, живее всех живых:)
Вот логи

Вам судя по всему очень нравится иметь руткит в системе:
[B]Восстановление системы: [COLOR="Red"][SIZE="4"]включено[/SIZE][/COLOR][/B]
Переделать логи.

Готово

Антивирус придется снести - он блокирует все на свете.

Скачайте [URL="http://virusinfo.info/showthread.php?t=17109"]IceSword [/URL], поищите и скопируйте файлы:
[CODE]E:\WINDOWS\System32\drivers\ati1uaxx.sys
E:\WINDOWS\System32\Drivers\ati8aixx.sys
[/CODE]
Скопированные с помощью IceSword файлы сохраните в карантине (Приложение 2 правил).
Потом удалите их с помощью [URL="http://virusinfo.info/showthread.php?t=17228"]force delete[/URL]
Если Вы какие-то файлы не обнаружите - переходите к следующему шагу.

Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('E:\WINDOWS\System32\Drivers\ati8aixx.sys','');
QuarantineFile('E:\WINDOWS\System32\drivers\tcpsr.sys','');
QuarantineFile('E:\WINDOWS\System32\drivers\ati1uaxx.sys','');
QuarantineFile('e:\windows\system32\rs32net.exe','');
QuarantineFile('e:\windows\msauc.exe','');
QuarantineFile('E:\WINDOWS\services.exe','');
DeleteService('ati1uaxx');
DeleteService('ati8aixx');
DeleteFile('E:\WINDOWS\services.exe');
DeleteFile('e:\windows\msauc.exe');
DeleteFile('e:\windows\system32\rs32net.exe');
DeleteFile('E:\WINDOWS\System32\drivers\ati1uaxx.sys');
DeleteFile('E:\WINDOWS\System32\drivers\tcpsr.sys');
DeleteFile('E:\WINDOWS\System32\Drivers\ati8aixx.sys');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('ati1uaxx');
BC_DeleteSvc('tcpsr');
BC_DeleteSvc('ati8aixx');
BC_Activate;
RebootWindows(true);
end.
[/CODE]

После перезагрузки:
- [url="http://virusinfo.info/showthread.php?t=10025"] Очистите [/url]темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным [B]только Internet Explorer[/B]. Если он не запущен - запустите!!!
- Сделайте повторные логи
[CODE]virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log [/CODE]
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы (Приложение 2 п.4 правил).
- Прикрепите логи к новому сообщению.

Последние логи

[QUOTE=Fanbeer;286710]Последние логи[/QUOTE]Я же Вас просил - антивирус удалить. Или Вы думали, что я так шучу? Удалите и повторите действия из моего предыдущего сообщения.

Ну да я действительно принял за шутку:) Ок сейчас все переделаю!

Сделал

[URL="http://virusinfo.info/showthread.php?t=17109"]IceSword [/URL], удалите с помощью [URL="http://virusinfo.info/showthread.php?t=17228"]force delete[/URL]
[CODE]E:\WINDOWS\System32\drivers\ati1uaxx.sys
[/CODE]

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
BC_DeleteFile('E:\WINDOWS\System32\drivers\ati1uaxx.sys');
ExecuteSysClean;
BC_DeleteSvc('ati1uaxx');
BC_Activate;
RebootWindows(true);
end.
[/CODE]

После перезагрузки:
- Сделайте повторные логи
[CODE]virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log [/CODE]
- Прикрепите логи к новому сообщению.

Готово

[URL="http://virusinfo.info/showthread.php?t=7239"]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/URL]

[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('tcpsr');
DeleteFile('E:\WINDOWS\System32\drivers\tcpsr.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('tcpsr');
BC_Activate;
RebootWindows(true);
end.[/CODE]

Повторите логи...

Сделал:)

Чисто,жалобы есть?

Нет спасибо жалоб нет:)

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]6[/B][*]Обработано файлов: [B]94[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] e:\\windows\\msauc.exe - [B]Trojan-Downloader.Win32.Agent.ahcx[/B] (DrWEB: Trojan.PWS.ICQSniff.25)[*] e:\\windows\\services.exe - [B]Trojan.Win32.Pakes.knn[/B] (DrWEB: Trojan.Spambot.3588)[*] e:\\windows\\system32\\cpl32ver.exe - [B]Trojan.Win32.Inject.hyj[/B] (DrWEB: Trojan.Inject.3776)[*] e:\\windows\\system32\\rs32net.exe - [B]Trojan.Win32.Agent.aeem[/B] (DrWEB: BackDoor.Bulknet.256)[/LIST][/LIST]