Последствия заражения вирусами

[razmus]

Доброе время суток!
При проверке антивирусами как из нормального режима так и из безопасного, вирусов не находит, но в "Мой компьютер" появились "Веб папки" и ко всем дисками постоянно открывается общий доступ (сколько его не закрывай), к тому же, невозможно скачать любую антивирусную программу, говорит что ссылки недействительны.
Посмотрите пожалуйста.

Заранее благодарен!

[olejah]

Доброе время суток!

Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
- Системное восстановление

Пофиксите в hijackthis -

Код:

R3 - URLSearchHook: (no name) -  - (no file)

Выполните скрипт в АВЗ -

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
 DeleteService('hewxtju');
 QuarantineFile('C:\WINDOWS\system32\03F.tmp','');
 DeleteService('qrtpaxwm');
 QuarantineFile('C:\WINDOWS\system32\0A.tmp','');
 QuarantineFile('C:\DOCUME~1\Danila\LOCALS~1\Temp\Hhd.exe','');
 DeleteFile('C:\DOCUME~1\Danila\LOCALS~1\Temp\Hhd.exe');
 DeleteFile('c:\windows\Tasks\{22116563-108C-42c0-A7CE-60161B75E508}.job');
 DeleteFile('C:\WINDOWS\system32\0A.tmp');
 BC_DeleteSvc('qrtpaxwm');
 DeleteFile('C:\WINDOWS\system32\03F.tmp');
 BC_DeleteSvc('hewxtju');  
 BC_ImportAll;
 ExecuteSysClean;
 ExecuteWizard('TSW',2,2,true);
 BC_Activate;
 RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- выполните такой скрипт

Код:

begin
  CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
 end.

Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.

- Повторите логи

[razmus]

Сделал новые логи, файл карантина не выложил, так как он был пустым...

[Nikkollo]

У вас по логам виден Radmin. Сами устанавливали?

Какие именно антивирусы и откуда скачать не можете?

[razmus]

Radmin сами ставили. Антивирусы любые, тот же АВЗ, Карейт... на другой машине качал, так как браузер говорил, что "ссылка битая".

[Nikkollo]

Выполните скрипт в AVZ:

Код:

begin
BackupRegKey('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\PersistentRoutes', 'routes');
end.

В папке АВЗ появится папка Backup, в ней папка с именем текущей даты, в ней файл routes_<цыферки>.reg
Заархивируйте его и приложите здесь.

[razmus]

Сделал. И подскажите пожалуйста, как избавиться от "Веб папки" в "Мой компьютер".

[Nikkollo]

Сделайте лог gmer (не забыв поставить галочку на диск C и нажав Scan):
http://virusinfo.info/showthread.php?t=40118
и приложите его в теме.

[razmus]

Сделал... при первых двух попытках запустить Gmer, машина сразу перегружалась, на третий раз запустил на "только стартовавшей системе", запустился...

[Nikkollo]

По всем логам ничего подозрительного не обнаружил.
Проверьте еще раз скачку CureIt отсюда:
http://www.freedrweb.com/cureit/
И AVZ отсюда:
http://z-oleg.com/avz4.zip
Пробуйте во всех браузерах, которые у вас установлены.

Для скрытия "Веб-папки" выполните скрипт в AVZ:

Код:

begin
RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
end.

[razmus]

Проверил, все и отовсюду качается, но после перезагрузки общий доступ к дискам все равно открывается, типа "C$ , D$". Галочка "Использовать общий доступ к файлам" снята.

[Nikkollo]

Это "административный доступ к локальным дискам", по умолчанию он всегда включен и это не является последствием заражения.
Но если хотите отключить, вот скрипт:

Код:

begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
end.