Редактирование реестра запрещено администратором.

[Mailik]

Пытался удалить вырус, но не получается. Редактирование реестра запрещено. Логи прилагаю. Надеюсь на вашу помощь. Заранее спасибо.

[thyrex]

Пофиксите в HiJack

Код:

O20 - AppInit_DLLs: app_dll.dll

Выполните скрипт в AVZ

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\app_dll.dll','');
 QuarantineFile('C:\Documents and Settings\Администратор\csrss.exe','');
 QuarantineFile('C:\Documents and Settings\Администратор\csrss.exe,explorer.exe,C:\Documents and Settings\Администратор\Application Data\nisgw.exe,Explorer.exe','');
 QuarantineFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\ioaagtzfxra.sys','');
 DeleteService('zfjhg');
 QuarantineFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\nvnpahdynyt.sys','');
 DeleteService('bpvjhrzblqn');
 QuarantineFile('C:\Documents and Settings\Администратор\Application Data\Microsoft\penifoco.exe','');
 DeleteService('wyqjozyaijmayy');
 QuarantineFile('C:\Documents and Settings\Администратор\Application Data\Microsoft\kywudir.exe','');
 DeleteService('lqra5yuu0e5uuoq4');
 TerminateProcessByName('c:\program files\internet explorer\wmpscfgs.exe');
 QuarantineFile('c:\program files\internet explorer\wmpscfgs.exe','');
 DeleteFile('c:\program files\internet explorer\wmpscfgs.exe');
 DeleteFile('C:\Documents and Settings\Администратор\Application Data\Microsoft\kywudir.exe');
 DeleteFile('C:\Documents and Settings\Администратор\Application Data\Microsoft\penifoco.exe');
 DeleteFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\nvnpahdynyt.sys');
 DeleteFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\ioaagtzfxra.sys');
 DeleteFile('C:\Documents and Settings\Администратор\csrss.exe,explorer.exe,C:\Documents and Settings\Администратор\Application Data\nisgw.exe,Explorer.exe');
 DeleteFile('C:\Documents and Settings\Администратор\csrss.exe');
 DeleteFile('C:\WINDOWS\system32\app_dll.dll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
DeleteFileMask('C:\Windows\Tasks', 'At*.job', true);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(17);
RebootWindows(true);
end.

Компьютер перезагрузится.

Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

Сделайте новые логи

[Mailik]

Результат загрузки

Файл сохранён как 100409_184836_virus_4bbf3e4470ca2.zip
Размер файла 618613
MD5 b068865fa1788fd08c98237b40f5bf1b

Зашёл в program files, в папку с касперским. Смутили файлы "avp.exe" и "avp .exe". Иконка другая. Может эта информация как-то поможет.

[thyrex]

Не обратил внимание сразу - логи переделать в нормальном режиме.

Смутили файлы "avp.exe" и "avp .exe". Иконка другая

Запакуйте оба файла с паролем virus и пришлите по красной ссылке Прислать запрошенный карантин вверху темы

[Mailik]

thyrex, в нормальном режиме оно зависает.

[thyrex]

thyrex, в нормальном режиме оно зависает.

Даже после выполнения скрипта лечения?

Файлы подозрительные почему не отправили?

[Mailik]

Файлы могу отправить днём, сейчас не имею доступа к компьютеру. В нормальном режиме запускалось и через минут 10 зависало, а потом всё то, что удалял скрипт восстанавливалось. (Видимо служба avp восстанавливала вирус) Не знаю на сколько это верно, но я хочу добавить в скрипт команду удаления файлов "avp.exe" и "avp .exe" и соответсвтующие им службы. А уже потом переделать и выложить логи в нормальном режиме. Что вы на это скажете?

[thyrex]

но я хочу добавить в скрипт команду удаления файлов "avp.exe" и "avp .exe"

Не занимайтесь самодеятельностью

Если Вы отказываетесь выполнять указания хелперов, или делаете все по-своему, не удивляйтесь тому, что Ваша тема может быть закрыта.

[Mailik]

Прикрепляю новые логи, сделанные в нормальном режиме.

А вот архив с вирусами к сожалению забыл скопировать.

[thyrex]

Выполните скрипт в AVZ

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('\Device\HarddiskVolume3\DOCUME~1\9335~1\LOCALS~1\Temp\RarSFX2\a9q2bxp.exe');
 QuarantineFile('\Device\HarddiskVolume3\DOCUME~1\9335~1\LOCALS~1\Temp\RarSFX2\a9q2bxp.exe','');
 DeleteFile('\Device\HarddiskVolume3\DOCUME~1\9335~1\LOCALS~1\Temp\RarSFX2\a9q2bxp.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

Сделайте новые логи

[thyrex]

Дополнительно к предыдущему сообщению выполните. Программы, удаляемые в скрипте, придется переустановить. Они подменены вирусом

А вот архив с вирусами к сожалению забыл скопировать.

Возможно также подменены и файлы антивируса. Срочно прислать их

Выполните скрипт в AVZ

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Program Files\VistaDriveIcon\VistaDrv.exe','');
 QuarantineFile('C:\Program Files\Punto Switcher\ps.exe','');
 QuarantineFile('C:\Program Files\Mail.Ru\Agent\magent.exe','');
 DeleteFile('C:\Program Files\Mail.Ru\Agent\magent.exe');
 DeleteFile('C:\Program Files\Punto Switcher\ps.exe');
 DeleteFile('C:\Program Files\VistaDriveIcon\VistaDrv.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится

Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

Сделайте новые логи

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 23
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\documents and settings\администратор\application data\microsoft\kywudir.exe - Trojan-Dropper.Win32.Vidro.nl ( DrWEB: Trojan.Siggen1.20298, AVAST4: Win32:Crypt-GCF [Trj] )
  2. c:\documents and settings\администратор\application data\microsoft\penifoco.exe - Trojan-Clicker.Win32.Cycler.ozg ( DrWEB: Win32.HLLC.Asdas.4, BitDefender: Trojan.Agent.APFB, AVAST4: Win32:Rootkit-gen [Rtk] )
  3. c:\documents and settings\администратор\application data\nisgw.exe - Backdoor.Win32.EggDrop.anu ( DrWEB: Trojan.Inject.8602, BitDefender: Trojan.Agent.Delf.RKX, AVAST4: Win32:Flot-E [Trj] )
  4. c:\documents and settings\администратор\csrss.exe - P2P-Worm.Win32.Palevo.abwc ( DrWEB: Win32.HLLW.Lime.18, BitDefender: Gen:Variant.Rimecud.1 )
  5. c:\docume~1\9335~1\locals~1\temp\ioaagtzfxra.sys - Backdoor.Win32.Agent.arme ( DrWEB: Trojan.NtRootKit.2965, BitDefender: Rootkit.34429, AVAST4: Win32:Rootkit-gen [Rtk] )
  6. c:\program files\internet explorer\wmpscfgs.exe - Trojan-Clicker.Win32.Cycler.ozg ( DrWEB: Win32.HLLC.Asdas.4, BitDefender: Trojan.Agent.APFB, AVAST4: Win32:Rootkit-gen [Rtk] )
  7. c:\windows\system32\app_dll.dll - Trojan.Win32.FraudPack.apul ( DrWEB: Trojan.Siggen.59885, BitDefender: Trojan.Generic.3602389, AVAST4: Win32:Spambot-EL [Trj] )