win32.virut - проблема!(не юбилейный ли штамм?)

[Роман-zes]

при проверке куреит больше ничего не обнаружил.
эксплорер по прежнему болен Win32/Virut.NBP
выкладываю логи

[V_Bond]

выполните скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('c:\windows\explorer.exe','');
 QuarantineFile('c:\program files\internet explorer\iexplore.exe','');
 QuarantineFile('C:\WINDOWS\system32\els.dll','');
 QuarantineFile('C:\Documents and Settings\zes\reader_s.exe','');
 DeleteService('protect');
 QuarantineFile('C:\WINDOWS\System32\drivers\protect.sys','');
 DeleteFile('C:\WINDOWS\System32\drivers\protect.sys');
 DeleteFile('C:\Documents and Settings\zes\reader_s.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

пришлите карантин согласно приложения 3 правил
повторите логи

[Роман-zes]

скрипт выполнил, карантин отправил

[Роман-zes]

теперь ещё lsas.exe выдает оибку доступа к памяти...комп виснет и загружается только с последней удачной конфигурацией

[Rene-gad]

Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.

Фиксить и выполнять скрипт можно в безопасном режиме

-Пофиксите

Код:

R3 - URLSearchHook: (no name) - {0579B4B6-0293-4d73-B02D-5EBB0BA0F0A2} - C:\Program Files\AskSBar\SrchAstt\1.bin\A2SRCHAS.DLL
O2 - BHO: Ask Search Assistant BHO - {0579B4B1-0293-4d73-B02D-5EBB0BA0F0A2} - C:\Program Files\AskSBar\SrchAstt\1.bin\A2SRCHAS.DLL
O2 - BHO: Ask Toolbar BHO - {F0D4B231-DA4B-4daf-81E4-DFEE4931A4AA} - C:\Program Files\AskSBar\bar\1.bin\ASKSBAR.DLL
O3 - Toolbar: Ask Toolbar - {F0D4B239-DA4B-4daf-81E4-DFEE4931A4AA} - C:\Program Files\AskSBar\bar\1.bin\ASKSBAR.DLL
O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)

- Выполните скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ClearQuarantine;
 StopService('restore');
 RegKeyParamDel('HKEY_USERS','S-1-5-18SoftwareMicrosoftWindowsCurrentVersionRun','svc');
 RegKeyParamDel('HKEY_USERS','.DEFAULTSoftwareMicrosoftWindowsCurrentVersionRun','svc');
 QuarantineFile('C:\WINDOWS\system32\MsSip3.dll','');
 QuarantineFile('C:\WINDOWS\system32\MsSip2.dll','');
 QuarantineFile('C:\WINDOWS\system32\MsSip1.dll','');
 QuarantineFile('C:\WINDOWS\system32\drivers\restore.sys','');
 QuarantineFile('c:\program Files\ThunMail\testabd.exe','');
 DeleteService('restore');
 DeleteFile('C:\WINDOWS\system32\MsSip3.dll');
 DeleteFile('C:\WINDOWS\system32\MsSip2.dll');
 DeleteFile('C:\WINDOWS\system32\MsSip1.dll');
 DeleteFile('C:\WINDOWS\system32\drivers\restore.sys');
 DeleteFile('c:\program Files\ThunMail\testabd.exe');
 DeleteFile('C:\Program Files\AskSBar\bar\1.bin\ASKSBAR.DLL');
 DelBHO('{F0D4B239-DA4B-4daf-81E4-DFEE4931A4AA}');
 DelBHO('{F0D4B231-DA4B-4daf-81E4-DFEE4931A4AA}');
 DelBHO('{8DAE90AD-4583-4977-9DD4-4360F7A45C74}');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('restore');
executerepair(6);
executerepair(8);
executerepair(9);
executerepair(11);
executerepair(16);
executerepair(17);
BC_Activate;
RebootWindows(true);
end.

После перезагрузки:

- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи
virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 2
• Обработано файлов: 6
• В ходе лечения вредоносные программы в карантинах не обнаружены