Модифицирован файл hosts

[atv2010]

Свежий сканер CureIT в защищенном режиме находит и удаляет вирусы.
При подключении к интернету также были пойманы.
Высылаю результаты прооверки по правилам.

[atv2010]

DrWeb пишет "инфицирован Win32.HLLWSiggen.560"
А еще "Trojan.Inject.7754 и Trojan.Drop.52131"

Этот последний Trojan.Drop.52131 определяется и на 2-м компьютере, на которм я, с Вашей помощью, бьюсь с врагами.
Пишу, а они летят...

[Шапельский Александр]

Сделайте лог MBAM

[atv2010]

Не могу сделать лог MBAM. Установил ее заново. Но она запускается не более, чем на 3 сек. и вылетает. И с каждым разом все быстрее.
Такое ощущение, что в компьютере не вирус, а интеллект какой-то.
Три дня лечил, кажется сделали. Вчера обнаружил, что снова полетели вирусы, пока писал, делал логи, с трудом отправил, вирусы окончательно заели систему. Такое ощущение, что стало еще хуже.
С утра я загрузил систему в безопасном режиме, проверил сканером CureIT, найдены 2 врага.
А позже уже не мог запустиься в безопасном, получилось только с помощью скрипта в AVZ, но сканер ничего не нашел. При запуске-то по F8 меню режимов выходит, но когда выбираю - защищенный - далее Windows XP, внизу экрана как-то подозрительно красно написано "защищенный", затем комп. просто перезагружается.
И начались старые проблемы, исчез с линейки ярлык рус-англ., полностью заблирован Ваш сайт, я не могу написать сообщение, а интеренет вообще работает. Проверки анитивирусами ничего не дают.
Утром вчера, до начала бойни, пытался обновитьс систему до SP3, не идет обновление.
У меня в работе второй компьютер, так там все то же. Но он вообще в защищенный не переходит.

[Шапельский Александр]

Логи сможете сделать?

[atv2010]

Сегодня удалось запустить MBAM.
Сделл все логи. Посмотрите.

[Шапельский Александр]

Выполните скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\cpadvai.dll','');
 QuarantineFile('%Tmp%\RarSFX0','');
 QuarantineFile('C:\WINDOWS\system32\ftcgpk.dll','');
BC_ImportAll;
ExecuteSysClean;
Executerepair(6);
ExecuteWizard('TSW', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.

закачайте карантин по ссылке Прислать запрошенный карантин в шапке Вашей темы (Приложение 3 правил).
Сделайте лог Gmer

[atv2010]

Сделал проверку.

[Шапельский Александр]

Выполните скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteFilemask('%Tmp%','*.*', true);
 DeleteFile('C:\WINDOWS\system32\cpadvai.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению.

[atv2010]

Направляю логи. Как только подключаю интернет, DrWeb начинает ловить вирусы.

[Шапельский Александр]

Выполнить скрипт

Код:

begin
DeleteFileMask(GetAVZDirectory+'Quarantine','*.*',true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 TerminateProcessByName('c:\windows\system32\service.exe');
 QuarantineFile('c:\windows\system32\service.exe','');
 TerminateProcessByName('c:\docume~1\8a0a~1\locals~1\temp\rs.exe');
 QuarantineFile('C:\DOCUME~1\8A0A~1\LOCALS~1\Temp\rs.exe','');
 DeleteFile('c:\docume~1\8a0a~1\locals~1\temp\rs.exe');
 DeleteFile('c:\windows\system32\service.exe');
BC_ImportAll;
Executerepair(6);
Executerepair(9);
ExecuteWizard('TSW', 2, 2, true);
ExecuteSysClean;
RebootWindows(true);
end.

Закачайте карантин по ссылке Прислать запрошенный карантин в шапке Вашей темы (Приложение 3 правил).
Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению

[atv2010]

Выполнил. Заметно быстрее стал работать компьютер вообще (открыте папки, напр., "мой комп."), появился ярлык "рус-англ" (он исчезал первым), стала переключаться клавиатура в интернете, при подключении к интернету уже не летят так нагло вирусы (DrWeb не реагирует).
В течение 10 дней лечения летели одни и те же вырусы, я видел по именам файлов, т.е. мы никак не могли устанить причину их запроса.
Сейчас пока не вижу.
В течение последних суток полностью сделал все обновления системы, включая декабрь.

[atv2010]

Извините, что не так быстро отвечаю, я на Дальнем Востоке и компьтер у меня наработе.

[snifer67]

Выполните скрипт в avz

Код:

begin
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\qtplugin.exe','');
 DeleteFile('C:\WINDOWS\system32\qtplugin.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','RegistryMonitor1');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

ПК перезагрузится.

Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

Сделайте новые логи.

[atv2010]

Скрипт выполнил, но карантин пустой.
Логи высылаю.

[snifer67]

Чисто.Что с проблемой ?

[atv2010]

Наверное, все в порядке.
Не работала загрузка в безопасном режиме. Выполнил скрипт для перезагрузки, теперь работает.
Спасибо.
Пока лечили этот компьтер, тем же самым заразил ноутбук, создал ноаую тему, лечу...

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 6
• Обработано файлов: 61
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\system volume information\_restore{f747065c-8fd6-4b04-9d8b-cf38b58bd0a6}\rp590\a0067429.exe:exe.exe:$data - Trojan.Win32.Sasfis.xjd ( DrWEB: Trojan.Spambot.6760, BitDefender: Trojan.Spammer.ABU, NOD32: Win32/Obfuscated.NCY trojan, AVAST4: Win32:Rootkit-gen [Rtk] )
  2. c:\windows\system32\svchost.exe:exe.exe:$data - Trojan.Win32.Sasfis.xjd ( DrWEB: Trojan.Spambot.6760, BitDefender: Trojan.Spammer.ABU, NOD32: Win32/Obfuscated.NCY trojan, AVAST4: Win32:Rootkit-gen [Rtk] )
  3. c:\windows\system32\wmisrvc.exe - Trojan.Win32.Buzus.ctbk ( DrWEB: Trojan.MulDrop.52131, BitDefender: Trojan.Agent.ANZV, NOD32: Win32/IRCBot.NBF trojan, AVAST4: Win32:VB-NYP [Drp] )