Невозможно вывести заразу с компьютера.

[Макcим]

Удалите старые логи здесь http://virusinfo.info/profile.php?do=editattachments

[V_Bond]

2 Maxim это же не у меня ...

[~XIII~]

[V_Bond]

перед выполнением скриптов обязательно отключите аутпост ...
выполните скрипт ...

Код:

begin
 SearchRootkit(false, true);
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\iwtplykr', 'Start');
 RebootWindows(true); 
end.

после перезагрузки еще один ....

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DelBHO('5FB8C5D4-929F-4870-89E2-7E3EE26EE701');
 DeleteFile('C:\WINDOWS\System32\DRIVERS\iwtplykr.sys');
 DeleteFile('C:\WINDOWS\system32\9a51.dll');
 BC_DeleteSvc('iwtplykr');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

повторите последний лог ...

[~XIII~]

Второй скрипт после первой перезагрузки выполнить не мог - артачился, та же ошибка, что и на предыдущей странице (Outpost был отключен). Пришлось делать в БР.

[V_Bond]

скачать ...
- отключить антивирус и фаервол
- оключиться от интернета
tools - wipe/copy file - browse и находим файл C:\WINDOWS\System32\DRIVERS\iwtplykr.sys ... - direct file content wiping - do opperation - закрыть программу.. - перезагрузится ...
сделать новый лог ...

[~XIII~]

И-и-и-иха!

[V_Bond]

странно .... снова на месте .... давайте все что описано в посте 26 ... только в SAFE Mode ...

[~XIII~]

А я сначала и пробовал в Safe Mode. Программа (RootkitUnhooker) писала что не может найти какой-то драйвер.

[V_Bond]

кажется мы победили .... остались только следы ...
выполните скрипт ...

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteService('iwtplykr');
 DeleteFile('C:\WINDOWS\System32\DRIVERS\iwtplykr.sys');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

и лог думаю последний раз ...

[~XIII~]

[V_Bond]

в логах чисто ...
какие-то проблемы остались ?

[~XIII~]

Вроде проблем нет. Огромное спасибо.

Подскажите пожалуйста, как избежать дальнейшего проникновения подобного? Какие антивирусы и фаерволы нужно использовать? И зачем мне было удалять Ad-Aware и можно ли его установить заново.

[V_Bond]

рекомендуемые антивирусы ...
при наличии нормального антивируса в адваре нет необходимости ...

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 4
• Обработано файлов: 71
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\\windows\\downlo~1\\do5.dll - Trojan-Downloader.Win32.Agent.gzt (DrWEB: Trojan.DownLoader.38487)
  2. c:\\windows\\downlo~1\\ik67d8.dll - Trojan-Downloader.Win32.Agent.gzt (DrWEB: Trojan.DownLoader.38487)
  3. c:\\windows\\downlo~1\\o0fkst.dll - Trojan-Downloader.Win32.Agent.gzt (DrWEB: Trojan.DownLoader.36511)
  4. c:\\windows\\downlo~1\\vwg.dll - Trojan-Downloader.Win32.Agent.gzt (DrWEB: Trojan.DownLoader.36511)
  5. c:\\windows\\downlo~1\\vwrdbzix.dll - not-a-virus:AdWare.Win32.Agent.zq (DrWEB: Adware.Sogou.70)
  6. c:\\windows\\system32\\a5db1.exe - Trojan.Win32.BHO.aot (DrWEB: Adware.Sogou.79)
  7. c:\\windows\\system32\\drivers\\devmgy.sys - Trojan.Win32.Zapchast.dm (DrWEB: Trojan.NtRootKit.522)
  8. c:\\windows\\system32\\drivers\\ei0nkt2e.sys - Trojan-Downloader.Win32.Hmir.pe (DrWEB: Trojan.NtRootKit.52
  9. c:\\windows\\system32\\drivers\\iwtplykr.sys - Trojan-Downloader.Win32.Hmir.pe (DrWEB: Trojan.NtRootKit.529)
  10. c:\\windows\\system32\\drivers\\mxdispdr.sys - not-a-virus:AdWare.Win32.Cinmus.bbt (DrWEB: Adware.Cinmus.104)
  11. c:\\windows\\system32\\flym.dll - not-a-virus:AdWare.Win32.BHO.ri (DrWEB: Adware.Baidu.333)
  12. c:\\windows\\system32\\9a51.dll - not-a-virus:AdWare.Win32.BHO.ro (DrWEB: Adware.Dsc)