svchost,explorer.exe

[Coollest]

Vegas, показывает неправильный синтаксис скрипта.. попробйуте сами в авз проверить.. он показывает ошибку в строке 9 10 и еще в какой-то...

Исправил delete svc на DeleteService('TDSSserv');
и убрал строку про текст ридер. И скрипт выполнился.

Нахожу ТДСС только в реестре, в контрол сет 002, в сервисах, причем оттуда он не удаляется никак... Вотс.. Мне кажется, вирусы из-за него, так как пока он не появился, свзяка файрвол+др.веб с лицензией не давали сбоев...

Добавлено через 25 минут

Смог Гмером найти тддсерв, как-то удалить сервис, зайти Айссвордом в реестр и удалить оттуда тддсерв. После выхода и захода в систему(не перезагрузка а просто завершение сеанса) тддс не находится ремовером и гмером... Неужто получилось? ставлю компъютер на проверку авз. Это часа 2...

[Coollest]

Прилагаю Логи АВЗ и Хайджекзис.

[vegas]

Да, вы правы, скрипт ночью писал - не досмотрел. TDSS вытравили, rk remover еще остался. Выполните скрипт

Код:

begin
 SearchRootkit(true,true);
 SetAVZGuardStatus(true);
 StopService('rk_remover');
 DeleteFile('C:\WINDOWS\system32\drivers\rk_remover.sys');
 DeleteService('rk_remover');
 BC_ImportALL;
 ExecuteSysClean;
 BC_LogFile(GetAVZDirectory + 'boot_cleaner.log');
 BC_Activate;
 RebootWindows(true);
end.

Логи АВЗ повторите

[Coollest]

А вы уверены, что RK_remover - руткит? этого файла нету в папке драйверс, а люди пишут,что это прога по удалению вирусов создает этот файл...
Ну вроде удалил, можно сделать только лог не лечения\карантина, а лог сбора данных, который быстро идет, прсото завтра работа, нет времени 2 часа ждать.
Спасибо за помощь!

[vegas]

А вы уверены, что RK_remover - руткит? этого файла нету в папке драйверс, а люди пишут,что это прога по удалению вирусов создает этот файл...

Вы имеете в виду прогу RKUnhooker ? А вы ей пользовались? Логи приложите оба, вас никто не торопит

[Coollest]

Не пользовался, прилагаю Логи!..

[vegas]

Заплатки не ставите и зловреды продолжают лезть через дыры в системе. Вы SP3 принципиально не ставите?
Выполните скрипт

Код:

begin
 SearchRootkit(true,true);
 SetAVZGuardStatus(true);
 QuarantineFile('C:\Documents and Settings\Администратор.КОМПЬЮТЕР\Главное меню\Программы\Автозагрузка\ikowin32.exe','');
 DeleteFile('C:\Documents and Settings\Администратор.КОМПЬЮТЕР\Главное меню\Программы\Автозагрузка\ikowin32.exe');
 DeleteService('uzezodk3');
 DeleteFile('C:\WINDOWS\system32\Drivers\uzezodk3.sys');
 BC_ImportALL;
 ExecuteSysClean;
 BC_LogFile(GetAVZDirectory + 'boot_cleaner.log');
 BC_Activate;
 RebootWindows(true);
end.

Пофиксите Hijackthis

Код:

O4 - Startup: ikowin32.exe

Закачайте карантин, сделайте новые логи

[Coollest]

RK я снес???? Понимаете. я намучался с ключом на компе одном.. И потерял его.. Если есть у вас файлик, чтобыактивацию не требовал, скиньте пожалуйста в личные сообщения, у вас же ту тнаверное запрещено. И какие заплатки ставить после SP3? Сейчас на компе вылетела ошибка SVchost....

Файл сохранён как090912_153908_virus_4aab885cbfde0.zip

Добавлено через 2 часа 11 минут

Итак, поставил свежий SP3. То пофиксил, удалилось, проверил - файлов нету. Дальнейшие действия?

[vegas]

Сделайте новые логи

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 5
• Обработано файлов: 14
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\documents and settings\администратор.компьютер\главное меню\программы\автозагрузка\ikowin32.exe - Backdoor.Win32.Bredolab.uz ( DrWEB: Trojan.Botnetlog.11, BitDefender: Trojan.Generic.2396307, AVAST4: Win32:BredoLab-K [Trj] )
  2. c:\documents and settings\администратор.компьютер\главное меню\программы\автозагрузка\ikowin32.exe - Backdoor.Win32.Bredolab.nx ( DrWEB: Trojan.Botnetlog.11, BitDefender: Trojan.Generic.2409548, NOD32: Win32/TrojanDownloader.Bredolab.AA trojan, AVAST4: Win32:Trojan-gen )
  3. c:\recycled\dc1.exe - Trojan-PSW.Win32.WebMoner.kh ( DrWEB: Trojan.PWS.Webmonier.137, AVAST4: Win32:Preald-AL [Drp] )
  4. c:\system volume information\_restore{15b46a87-1e6e-44fb-b15c-68d90b8d38e8}\rp155\a0048681.exe - Worm.Win32.Bezopi.el ( DrWEB: Win32.HLLW.Autoruner.6326, BitDefender: Trojan.Generic.CJ.KMD, AVAST4: Win32:MalOb-M [Cryp] )
  5. c:\system volume information\_restore{15b46a87-1e6e-44fb-b15c-68d90b8d38e8}\rp157\a0050066.exe - Worm.Win32.Bezopi.el ( DrWEB: Win32.HLLW.Autoruner.6326, BitDefender: Trojan.Generic.CJ.KMD, AVAST4: Win32:MalOb-M [Cryp] )
  6. c:\system volume information\_restore{15b46a87-1e6e-44fb-b15c-68d90b8d38e8}\rp158\a0059983.exe - Worm.Win32.Bezopi.el ( DrWEB: Win32.HLLW.Autoruner.6326, BitDefender: Trojan.Generic.CJ.KMD, AVAST4: Win32:MalOb-M [Cryp] )
  7. c:\system volume information\_restore{15b46a87-1e6e-44fb-b15c-68d90b8d38e8}\rp159\a0060718.exe - Worm.Win32.Bezopi.du ( DrWEB: Win32.HLLW.Autoruner.6326, BitDefender: Trojan.Generic.CJ.VSE, AVAST4: Win32:Preald-AL [Drp] )

Рекомендации:

1. Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли !