Удаление остатков вирусов

[Lone_Wanderer]

Добрый день!
На рассматриваемом компьютере побывало несколько вирусов, в том числе WinLock. Так как нужно было срочно лечить - удалил большую часть вручную. Однако наверняка я (и CureIT с AVPtool) что-то упустил. Логи AVZ и HiJackThis приложены. Велика вероятность наличия RootKit-а.

[Acidorum]

Здравствуйте.
Отключите:
-Все защитные приложения
-ПК от интернета
Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('E:\Program Files\\Outlook Express\setup50.exe','');
QuarantineFile('c:\windows\system32\wuaucldt.exe','');
QuarantineFile('e:\Temp\LHSRSL.exe','');
QuarantineFile('e:\Temp\QJKINSUFKAXP.exe','');
QuarantineFile('e:\Temp\QIZARLKNWU.exe','');
DeleteFile('c:\windows\system32\wuaucldt.exe');
DeleteFile('E:\Program Files\\Outlook Express\setup50.exe');
DelBHO('178F34B8-A282-11D2-86C5-00C04F8EEA99');
DelBHO('1E796980-9CC5-11D1-A83F-00C04FC99D61');
DelCLSID('7790769C-0471-11d2-AF11-00C04FA35D02');
DelCLSID('44BBA840-CC51-11CF-AAFA-00AA00B6015C');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','wuaucldt');
RegKeyStrParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'UserInit', GetEnvironmentVariable('SystemRoot')+'\system32\userinit.exe,');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(13);
ExecuteWizard('TSW',2,3,true);
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.
Затем выполните ещё один скрипт:

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

И пришлите quarantine.zip из папки AVZ согласно правилам (через красную ссылку "Прислать запрошенный карантин" наверху темы).
Сделайте повторные логи.

[Lone_Wanderer]

Карантин пуст. Видимо файлы были удалены до этого. Восстановлением файлов тоже не смог найти эти .exe
Повторные логи приложены.

Исправлено

[Acidorum]

Отключите:
-Все защитные приложения
-ПК от интернета
Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('e:\Temp\QJKINSUFKAXP.exe','');
QuarantineFile('e:\Temp\QIZARLKNWU.exe','');
QuarantineFile('e:\Temp\LHSRSL.exe','');
DeleteFile('e:\Temp\LHSRSL.exe');
DeleteFile('e:\Temp\QIZARLKNWU.exe');
DeleteFile('e:\Temp\QJKINSUFKAXP.exe');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('LHSRSL');
BC_DeleteSvc('QIZARLKNWU');
BC_DeleteSvc('QJKINSUFKAXP');
ExecuteWizard('TSW',2,3,true);
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.
Затем выполните ещё один скрипт:

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

И пришлите quarantine.zip из папки AVZ согласно правилам (через красную ссылку "Прислать запрошенный карантин" наверху темы).
Сделайте повторные логи.

[Lone_Wanderer]

Карантин пуст. Логи приложены.

[Acidorum]

Прокси сами ставили?

Код:

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 80.177.238.45:8080

В остальном все чисто.
Что с проблемой?
Установите:
-Service Pack 3 (может потребоваться активация, перед установкой выгрузите все приложения) + все обновления отсюда.
-Internet Explorer 8.
Откройте файл ScanVuln.txt и выполните его как скрипт в AVZ. По окончанию проверки в папке AVZ образуется файл avz_log.txt. Откройте его и скачайте программы по ссылкам, которые там указаны. Затем перезагрузите Ваш ПК и выполните скрипт повторно, дабы убедится, что уязвимости устранены.

[Lone_Wanderer]

Да, прокси нужен был для одной программы.
Обновления в процессе, посторонней активности вроде не замечено.
Большое спасибо за помощь.