Помогите избавиться от rsasaj.exe, csdrive32.exe, [1.....N].exe, zaberg.exe и остальных

[AlexDee1]

Добрый день! Пожалуйста, помогите избавиться от вирусов!


rsasaj.exe, csdrive32.exe, [1.....N].exe, zaberg.exe и остальные. Появляются в папках профиль/аппликейшн дата и windows/систем32 + иногда в других.

Пробовал удалять их через разные антивирусники, не помогло. Появляются снова, хотя в автозагрузке их не вижу.
В общем вирусы не вредят - работать можно, но грузят интернет-трафик всемя от времени, что он почти пропадает, каким-то образом добрались до провайдера, что мне мой интернет провайдер позвонил и сказали что от нас исходит спам, проверьте компьютер на вирусы.

Самое главное - теперь всегда при попытке переустановить винду (ЕЩЕ ДО ФОРМАТИРОВАНИЯ ДИСКОВ) выдает ошибку:



STOP: 0X0000007B (0xF8983524, 0xC0000034,0X00000000,0X00000000) и предлагает проверить на вирусы.

То есть, новую винду ХР я поставить не могу - походу сбит загрузочный сектор, а для другой винды 7 мало оперативки - 512 мб. И по логам в авз я предполагаю, что изменен загрузочный сектор NTFS.

+ была ошибка в скайпе - он вылетал постоянно, скорее всего это с этими же вирусами связано было - так как был процесс С_2_С - что-то такое. Скайп и все прилагающееся удалил.

P.S. Пока писал это письмо, комп сам вставил что-то типа еуыееуыееуыееуыееуыееуыееуые, только длинней, уже второй раз замечаю. в переводе на английский testtesttesttest и т.д.

Помогите! Все 3 лога прикреплены в следующем сообщении (после сообщения бота).

[Info_bot]

Уважаемый(ая) AlexDee1, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[AlexDee1]

Сорри за невнимательное чтение правил форума. Сейчас все сделал по правилам, вложения внутри этого письма.

[thyrex]

Выполните скрипт в AVZ

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\WINDOWS\system32\40.exe','');
 DeleteFile('C:\WINDOWS\system32\40.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

Сделайте новые логи

Сделайте лог полного сканирования МВАМ

[AlexDee1]

Выполнил все, как по инструкции.

[AlexDee1]

Help please!

[Techno]

- Удалите в MBAM:

Код:

C:\Documents and Settings\KSENIA\Doctor Web\DrWeb CureIt Quarantine\0F\F0F37A0896E0B38ACA247527544F13D1704E044D5C7D514410F9AD0FEBA9D251 (Trojan.RepackedSetup) -> Действие не было предпринято.
C:\Documents and Settings\KSENIA\Doctor Web\DrWeb CureIt Quarantine\14\F141CE90181D2672B8466A3DE90308FB3DCE9D0638CB2107382E48DA063E5E19 (Trojan.Downloader) -> Действие не было предпринято.
C:\Documents and Settings\KSENIA\Doctor Web\DrWeb CureIt Quarantine\21\F21E7B91187640B178B5DC561F0A35F61B15E79B3EA74129723BB8D84510CAF4 (Trojan.Inject) -> Действие не было предпринято.
C:\Documents and Settings\KSENIA\Doctor Web\DrWeb CureIt Quarantine\3A\F3AAF24F59A8FAFA8168EDBD4828B6F0CFB7947DFD3FC94192284BA47031F35A (Trojan.Agent) -> Действие не было предпринято.
C:\Documents and Settings\KSENIA\Doctor Web\DrWeb CureIt Quarantine\46\F46004AD4D559C29168C17D780FB589A7F53CC6B951C949C48B0710D1F96F3BB (Trojan.Agent) -> Действие не было предпринято.
C:\Documents and Settings\KSENIA\Doctor Web\DrWeb CureIt Quarantine\60\F60E45C8D7DB7972106891EF6993737D5524F899BB7B1B12361AFD799BA544A2 (Trojan.Inject) -> Действие не было предпринято.
C:\Documents and Settings\KSENIA\Doctor Web\DrWeb CureIt Quarantine\65\F65905BEAF6AD860100F7F15687BB343F3CA1B5D368136A662FC54DC40D8CDCA (Trojan.Inject) -> Действие не было предпринято.
C:\Documents and Settings\KSENIA\Doctor Web\DrWeb CureIt Quarantine\6A\F6A3FDF2A9CEA16589E78402FD255F36FFC2A19D40EE99B943070784295E2A53 (Trojan.Inject) -> Действие не было предпринято.
C:\Documents and Settings\KSENIA\Doctor Web\DrWeb CureIt Quarantine\6C\F6C0C38ED4044207422E8EB475E602F9D73D07DB5542C106F356B57867867A46 (Trojan.Inject) -> Действие не было предпринято.
C:\Documents and Settings\KSENIA\Doctor Web\DrWeb CureIt Quarantine\7F\F7F0699C066DADF84B314A526C03E071E30EAA32C891D6C23614358C7AF06AEC (Trojan.Agent) -> Действие не было предпринято.
C:\Documents and Settings\KSENIA\Doctor Web\DrWeb CureIt Quarantine\84\F84CC6CBC173AE53539C48A06BDA339437D4C48CA9BCA91AC9A0F66E255A29BC (Trojan.Inject) -> Действие не было предпринято.
C:\Documents and Settings\KSENIA\Doctor Web\DrWeb CureIt Quarantine\89\F89B350B672AC86D5B22A4C982B4B22AB1BF5EF50EF64E9981763821C5D5A65F (Trojan.Agent) -> Действие не было предпринято.
C:\Documents and Settings\KSENIA\Doctor Web\DrWeb CureIt Quarantine\8A\F8A27603D75397F7DCD15B4EE40596B09E7955DECE6AA9ECE34F125D22506715 (Trojan.Inject) -> Действие не было предпринято.
C:\Documents and Settings\KSENIA\Doctor Web\DrWeb CureIt Quarantine\8A\F8ABDA4A6521616B39F4BF170835570948FA1FEDDA7418617EBFE9B3D21396E1 (Trojan.Inject) -> Действие не было предпринято.
C:\Documents and Settings\KSENIA\Doctor Web\DrWeb CureIt Quarantine\99\F9999E6243AC5A7B6DA7DD8C6A12EDDA5FC16AB6D8B8F30EE7EF3233901AB4F2 (Trojan.Inject) -> Действие не было предпринято.
C:\Documents and Settings\KSENIA\Doctor Web\DrWeb CureIt Quarantine\AA\FAAAF512632D4B3237C2E5E7FC74810AEDAFC37994952BAC0C62D57BE1C46AD6 (Trojan.Downloader) -> Действие не было предпринято.
C:\Documents and Settings\KSENIA\Doctor Web\DrWeb CureIt Quarantine\BC\FBC966035338CC30C602EC1D247C807FE32D136182ED34FD41EEA74FFFC55B99 (Malware.Gen) -> Действие не было предпринято.
C:\Documents and Settings\KSENIA\Doctor Web\DrWeb CureIt Quarantine\C9\FC908BD5EB89A66527B6D5D93339C8FC573130EDA3D36BA30B7C6C482675C8EF (Malware.Gen) -> Действие не было предпринято.
C:\Documents and Settings\KSENIA\Doctor Web\DrWeb CureIt Quarantine\D3\FD3B001B3D19D3FC690449EF57EB594B4FCBC38DEC66F34EF5D1580773095E52 (Trojan.Inject) -> Действие не было предпринято.
C:\Documents and Settings\KSENIA\Doctor Web\DrWeb CureIt Quarantine\DE\FDE11F608C0DFC8DEE1409243CAA8DCFB2E5D61990E70B2A6001C3B324FFE9F1 (Malware.Gen) -> Действие не было предпринято.
C:\Documents and Settings\KSENIA\Doctor Web\DrWeb CureIt Quarantine\E6\FE62955792AD60CEB08DCAEBFF253DCD4C58866E0B80B30C30AAE32A5B06F0B3 (Trojan.Inject) -> Действие не было предпринято.
C:\Documents and Settings\KSENIA\Doctor Web\DrWeb CureIt Quarantine\F1\FF181B453F182CFD1C4978F3E09396244DB008D5A80EADC22DF2667FD0D7E6CC (Trojan.Inject) -> Действие не было предпринято.
C:\Documents and Settings\KSENIA\Doctor Web\DrWeb CureIt Quarantine\FB\FFBB838761CD6181288A49917AA584BD3AC29FE873EBBA801BA37382CA8E674C (Trojan.Agent) -> Действие не было предпринято.
C:\Documents and Settings\KSENIA\Doctor Web\DrWeb CureIt Quarantine\FD\FFDA723D10FEB0BB60D1CA8AAFFAC1446F29CDECD45E6E9EE6D75D0DAA19DB81 (Trojan.Agent) -> Действие не было предпринято.
C:\Documents and Settings\KSENIA\Local Settings\Temporary Internet Files\Content.IE5\QSCSW7GV\zb[1].exe (Backdoor.Bot.WPMH) -> Действие не было предпринято.
C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\WKH1OZYL\di[1].exe (Trojan.Agent) -> Действие не было предпринято.
C:\System Volume Information\_restore{0EEDB002-EBAA-4064-B9F1-8F0FE34EACB9}\RP62\A0043132.exe (Malware.Gen) -> Действие не было предпринято.
C:\System Volume Information\_restore{0EEDB002-EBAA-4064-B9F1-8F0FE34EACB9}\RP62\A0043133.exe (Trojan.Downloader) -> Действие не было предпринято.
C:\System Volume Information\_restore{0EEDB002-EBAA-4064-B9F1-8F0FE34EACB9}\RP62\A0043137.exe (Backdoor.Bot.WPMH) -> Действие не было предпринято.
C:\System Volume Information\_restore{0EEDB002-EBAA-4064-B9F1-8F0FE34EACB9}\RP62\A0043138.exe (Malware.Gen) -> Действие не было предпринято.
C:\System Volume Information\_restore{0EEDB002-EBAA-4064-B9F1-8F0FE34EACB9}\RP62\A0043140.exe (Trojan.Downloader) -> Действие не было предпринято.
C:\System Volume Information\_restore{0EEDB002-EBAA-4064-B9F1-8F0FE34EACB9}\RP63\A0043674.exe (Trojan.Agent) -> Действие не было предпринято.

Установите новый Internet Explorer, а также все доступные обновления для Windows


- Выполните в AVZ скрипт из файла ScanVuln.txt
- Откройте файл avz_log.txt из под-папки LOG.
- Пройдитесь по ссылкам из файла avz_log.txt и установите важные обновления.
- Перезагрузите компьютер.
- Повторите выполнение скрипта, чтобы убедиться, что уязвимости устранены.


Что с проблемами?

[AlexDee1]

Спасибо большое за реакцию и помощь.
Все выполнил как по инструкции.
Пока видимых следов нет - через сутки отпишусь, если что-то появится.

Вопрос - как быть со сбитым загрузочным сектором для переустановки виндоус? см. авз-лог

[Techno]

Вопрос - как быть со сбитым загрузочным сектором для переустановки виндоус? см. авз-лог

Не понял, где смотреть? Ничего там не сбито...

[AlexDee1]

Пожалуйста, скажите, через какую программу-процесс вирус отсылал спам от моего IP?
Провайдер уже 2 раза заблокировали мой компьютер, тк к ним поступают жалобы от якобы спама с нашего айпи. Это было до лечения вирусов.
Просто поставил сейчас Ashampoo Firewall - вроде ничего не просится в интернет, кроме того, чего я запускаю - опера, торрент и mirc.

Сейчас вроде все норм, благодаря вам. Кроме того что виндоус не могу переставить.
Загрузочный сектор NTFS после этих вирусов сбит видимо и нельзя установить новую винду. я скачал самую последню сборку со всем обновлениями и хотел бы ее поставить.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 3
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\\windows\\system32\\40.exe - Trojan.Win32.Jorik.IRCbot.mlv ( DrWEB: BackDoor.Ddoser.131, BitDefender: Gen:Variant.Zusy.8357, NOD32: Win32/AutoRun.KS worm, AVAST4: Win32:IRCBot-ESQ [Trj] )