Помогите вирус забороть.

[vknyaz]

Сил уже нет. Ни куреит ни АВтул справится не может. Где-тосидит и себя в каждую флешку пишет. Как справляться не знаю.
Логи приложил. Спасите.

[Bratez]

Отключите восстановление системы!
Пофиксите в HijackThis:

Код:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.smaxi.net
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.smaxi.net
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.smaxi.net
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.smaxi.net
O4 - HKLM\..\Run: [myci] C:\WINDOWS\system32\mewuv.exe
O4 - HKLM\..\Run: [hubo] C:\WINDOWS\system32\hittiwulav.exe
O4 - HKCU\..\Run: [loomad] C:\Documents and Settings\Администратор\Application Data\Microsoft\touberoge.exe
O4 - HKCU\..\Run: [myci] C:\Documents and Settings\Администратор\Application Data\Microsoft\mewuv.exe

Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\hittiwulav.exe','');
 QuarantineFile('C:\WINDOWS\system32\mewuv.exe','');
 QuarantineFile('C:\Documents and Settings\Администратор\fxmdk.exe','');
 QuarantineFile('C:\Documents and Settings\Администратор\fswagz.exe','');
 QuarantineFile('C:\Documents and Settings\Администратор\Application Data\Microsoft\touberoge.exe','');
 QuarantineFile('C:\Documents and Settings\Администратор\Application Data\Microsoft\mewuv.exe','');
 QuarantineFile('C:\Documents and Settings\LocalService\Application Data\Microsoft\mewuv.exe','');
 DeleteFile('C:\Documents and Settings\LocalService\Application Data\Microsoft\mewuv.exe');
 DeleteFile('C:\Documents and Settings\Администратор\Application Data\Microsoft\mewuv.exe');
 DeleteFile('C:\Documents and Settings\Администратор\Application Data\Microsoft\touberoge.exe');
 DeleteFile('C:\Documents and Settings\Администратор\fswagz.exe');
 DeleteFile('C:\Documents and Settings\Администратор\fxmdk.exe');
 DeleteFile('C:\WINDOWS\system32\mewuv.exe');
 DeleteFile('C:\WINDOWS\system32\hittiwulav.exe');
BC_ImportDeletedList;
ExecuteSysClean;
 BC_DeleteSvc('ao7ouveuyoquo7');
 BC_DeleteSvc('k3e5ouflu');
 BC_DeleteSvc('LVPrcSrv');
 BC_DeleteSvc('oeuagxtye');
 BC_DeleteSvc('u8wyeika1u6yas1y');
 BC_DeleteSvc('DwProt');
 BC_DeleteSvc('Lvckap');
 BC_DeleteSvc('LVPrcMon');
 BC_DeleteSvc('PID_0928');
BC_Activate;
RegKeyParamDel('HKLM', 'Software\Microsoft\Windows NT\CurrentVersion\Winlogon', 'Taskman');
RebootWindows(true);
end.

Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=101631).
Сделайте новые логи.

[vknyaz]

проблема похоже забодалась. логи прилагаю, карантин закачал.

[polword]

Отключите Системное восстановление!!! как- посмотреть можно тут
- Выполните скрипт в AVZ

Код:

procedure WhatService(AServiceName : string);
  var
   dllname, servicekey : string;
  begin
   servicekey := 'SYSTEM\CurrentControlSet\Services\'+AServiceName;
   RegKeyResetSecurity( 'HKLM', servicekey);
   RegKeyResetSecurity( 'HKLM', servicekey+'\Parameters');
   AddToLog('Description: '+RegKeyStrParamRead( 'HKLM', servicekey, 'Description'));
   AddToLog('DisplayName: '+RegKeyStrParamRead( 'HKLM', servicekey, 'DisplayName'));
   AddToLog('ImagePath: '+RegKeyStrParamRead( 'HKLM', servicekey, 'ImagePath'));
   dllname := RegKeyStrParamRead( 'HKLM', servicekey+'\Parameters', 'ServiceDll');
   AddToLog('ServiceDll: '+dllname);
   QuarantineFile(dllname,'');
  end;
 begin
  SearchRootkit(true, true);
  SetAVZGuardStatus(True);
  WhatService('rshwayd');
  QuarantineFile('C:\WINDOWS\TEMP\DAT1.tmp.exe','');
  QuarantineFile('C:\WINDOWS\TEMP\DAT9.tmp.exe','');
  QuarantineFile('C:\WINDOWS\TEMP\DAT100.tmp.exe','');
  QuarantineFile('C:\WINDOWS\TEMP\DAT8.tmp.exe','');
  BC_ImportAll;
  ExecuteSysClean;
  ExecuteRepair(11);
  ExecuteWizard('TSW', 2, 2, true);
  ExecuteWizard('SCU', 2, 2, true);
  BC_DeleteSvc('cmbhborxopexu');
  BC_DeleteSvc('fezuhhbl');
  BC_DeleteSvc('ftzknsxzxr');
  BC_DeleteSvc('lhtqjlgdg');
  BC_DeleteSvc('pxeehrgtovedrb');
  BC_DeleteSvc('sghdzmfxnmm');
  BC_DeleteSvc('tqmlprifztgear');
  BC_DeleteSvc('tqmlprifztgear');
  BC_Activate;
  SaveLog(GetAVZDirectory+'rshwayd.log');
  RebootWindows(true);
 end.

После перезагрузки:
- выполните такой скрипт

Код:

begin
  CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
 end.

- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
- файл rshwayd.log прикрепите к сообщению

[vknyaz]

Служба восстановления не просто отключена, она вообще отсутствует в системе.

[vknyaz]

Дурацкая сборка винды. Некоторые службы вырезаны, в том числе планировщик хзадач и служба востановления системы. я бы убил давно, и поставил нормальную, но там у моей очень хорошей знакомой настроена онлайновая программа ля работы на дому, к которой утеряны установочные данные, и она работает пока может. Собственно задача и состоит В том чтобы вернуть работоспособность системы для того чтобы перерегистрироваться с действующего аккаунта.
Логи прилагаю, карантин загрузил.

[thyrex]

Выполните скрипт в AVZ

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\jiaof.dll','');
 DeleteFile('C:\WINDOWS\system32\jiaof.dll');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\rshwayd\Parameters','ServiceDll');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

Сделайте новые логи

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 2
• Обработано файлов: 11
• В ходе лечения вредоносные программы в карантинах не обнаружены