Не могу победить вирус

[Ashkin]

Добрый день.
Не могу победить вирус. Запускается похоже через svchost.
Прописывается в реестре в HKLM\Software\Microsoft\WindowsNT\Winlogon\Userini t, как C:\Windows\AppPatch\*.dat (имя файла dat может меняться).
Прописывает свои IP-адреса в HKLM\System\CurrentControlSet\Services\Tcpip\Param eters\PersistentRoutes, как следствие не работает почта и обновление антивирусов.
При запуске MBAM вылетает explorer, AVZ запускается только с опцией am=y.
В папке c:\Windows\Temp спустя время появляется 2.exe, batch файл и словари для подбора паролей.

Путем восстановления системы и удаления подозрительных разделов из автозапуска и служб добился однодневной работы почты и антивируса, но через сутки все вернулось.
Добить заразу никак не могу.

[Nikkollo]

Здравствуйте.
Мы постараемся вам помочь, если вы выполните раздел Диагностика правил:
http://virusinfo.info/pravila.html
и приложите получившиеся логи.

[Ashkin]

Люди, Братья, Мужики!
Благодарность не будет знать границ (в пределах разумных).

[Nikkollo]

Отключите интернет.
Выгрузите/отключите антивирус/файрволл.

Пофиксите в HijackThis:

Код:

F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,C:\WINDOWS\AppPatch\corxzyb.dat,

Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\AppPatch\corxzyb.dat','');
 DeleteFile('C:\WINDOWS\AppPatch\corxzyb.dat');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

После перезагрузки выполните скрипт в AVZ:

Код:

 begin
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
 end.

Запустите/включите антивирус/файрволл.
Подключите интернет.

Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы "Прислать запрошенный карантин".

Повторите лог virusinfo_syscheck.zip и лог HijackThis и приложите в теме.


C:\sender\Sender.exe
D:\MApteka\Bin\csystray.exe
Это вам знакомо?

[Ashkin]

Мил человек, громадное Вам спасибо.
На первый взгляд проблем нет.
Посмотрим как дальше будем жить..

P.S.
Этож надо, при живом-то лицензионном НОД32....

[Nikkollo]

Пофиксите в HijackThis:

Код:

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe

Повторите лог HijackThis и приложите в теме.

[Ashkin]

Вот обновленный лог

[Nikkollo]

Теперь чисто.
Проблемы есть еще?

[Ashkin]

Спасибо, все хорошо.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 3
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\\windows\\apppatch\\corxzyb.dat - Trojan.Win32.Jorik.Shiz.iq ( DrWEB: Trojan.Packed.20771, BitDefender: Trojan.Generic.KDV.201621, AVAST4: Win32:MalOb-IP [Cryp] )