Торяны замучали!

[Anton_Petrenko]

В очередной раз прошу помощи у знающих людей!
Комп после включения и входа в систему вылетал в BSOD по кодам оказалась ошибка Winlogon.exe
Загрузился с PE, полечил, теперь загружается, но IE вылетает.
HiJackThis.exe не запускается, в таком виде, переименовал тогда запустился.
AVZ отработал без ошибок.
Посмотрите пожалуйста логи, чего надо почисить?

[Bratez]

Пофиксите в HijackThis:

Код:

O4 - HKLM\..\Run: [services] C:\WINDOWS\services.exe
O4 - HKLM\..\Run: [MicrSoft] C:\WINDOWS\system32\MicrSoft.exe
O4 - HKCU\..\Run: [Administrator] C:\Documents and Settings\Administrator\Administrator.exe /i
O20 - AppInit_DLLs: C:\WINDOWS\system32\mmmjyyjy.dll
O20 - Winlogon Notify: WinCtrl32 - WinCtrl32.dll (file missing)

Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\MicrSoft.exe','');
 QuarantineFile('C:\WINDOWS\services.exe','');
 QuarantineFile('C:\Documents and Settings\Administrator\Administrator.exe','');
 QuarantineFile('C:\WINDOWS\system32\drivers\ws2_32sik.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winwc73.sys','');
 QuarantineFile('C:\WINDOWS\system32\drivers\systemntmi.sys','');
 QuarantineFile('C:\WINDOWS\system32\drivers\port135sik.sys','');
 QuarantineFile('C:\WINDOWS\system32\drivers\nicsk32.sys','');
 QuarantineFile('C:\WINDOWS\system32\drivers\netsik.sys','');
 QuarantineFile('C:\WINDOWS\system32\drivers\ksi32sk.sys','');
 QuarantineFile('C:\WINDOWS\system32\drivers\i386si.sys','');
 QuarantineFile('C:\WINDOWS\system32\mmmjyyjy.dll','');
 DeleteFile('C:\WINDOWS\system32\mmmjyyjy.dll');
 DeleteFile('C:\WINDOWS\system32\drivers\i386si.sys');
 DeleteFile('C:\WINDOWS\system32\drivers\ksi32sk.sys');
 DeleteFile('C:\WINDOWS\system32\drivers\netsik.sys');
 DeleteFile('C:\WINDOWS\system32\drivers\nicsk32.sys');
 DeleteFile('C:\WINDOWS\system32\drivers\port135sik.sys');
 DeleteFile('C:\WINDOWS\system32\drivers\systemntmi.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winwc73.sys');
 DeleteFile('C:\WINDOWS\system32\drivers\ws2_32sik.sys');
 DeleteFile('C:\Documents and Settings\Administrator\Administrator.exe');
 DeleteFile('C:\WINDOWS\services.exe');
 DeleteFile('C:\WINDOWS\system32\MicrSoft.exe');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteRepair(9);
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=37735).
Сделайте новые логи (только п.2 и 3 раздела Диагностика).

[Anton_Petrenko]

Карантин отправил
Вот свежие логи.

[Гриша]

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteService('Winwc73');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winwc73.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('Winwc73');    
BC_Activate;
SetAVZPMStatus(true);    
RebootWindows(true);
end.

Повторите логи...

[Anton_Petrenko]

Выполнил скрипт, комп перезагрузился.
После перезагрузки "обнаружилось неизвесное устройство", драйвера не нашлись, хотя точно ничего нового не ставил. Может это какой-то зловред?
Вот свежие логи.

[Гриша]

В логах чисто, удалите это устройство, это побочный эффект AVZGuard, можете еще ст. скрипт №6 выполнить...

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 13
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\\windows\\system32\\mmmjyyjy.dll - Backdoor.Win32.Agent.woh (DrWEB: Trojan.Click.23850)