Помогите избавиться от вируса

**Rabbit2027** · 08.07.2011, 17:31

Вирус проявляет активность только при подключении к интернету, сначала запускается само распаковывающийся архив, из которого извлекаются в Temp три файла: test.bat, svchost.exe, hstart.exe. В свою очередь само распаковывающийся архив располагается по адресу C:\Documents and Settings\*****\Application Data и C:\Documents and Settings\*****\Start Menu\Programs\Startup. В диспетчере задач появляется процесс, маскирующийся под svchost.exe, загружающий процессор на 90%.
Прошу оказать мне помощи, ибо своими силами я справиться не могу.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 08.07.2011, 17:31

Уважаемый(ая) Rabbit2027, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**Nikkollo** · 08.07.2011, 17:48

В указанной последовательности:

Установите все обновления безопасности, вышедшие после Service Pack 3:
http://windowsupdate.microsoft.com/
Обновите Internet Explorer до актуальной версии (даже если не используете):
http://windows.microsoft.com/ru-RU/i...r/downloads/ie

Пофиксите в HijackThis (как пофиксить):

Код:

R3 - URLSearchHook: (no name) - {00000000-6E41-4FD3-8538-502F5495E5FC} - (no file)
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
O3 - Toolbar: (no name) - {9421DD08-935F-4701-A9CA-22DF90AC4EA6} - (no file)
O3 - Toolbar: (no name) - {10EDB994-47F8-43F7-AE96-F2EA63E9F90F} - (no file)
O3 - Toolbar: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - (no file)
O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)

Выполните скрипт в AVZ (как выполнить):

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 TerminateProcessByName('c:\docume~1\otaku\locals~1\temp\svchost.exe');
 QuarantineFile('c:\docume~1\otaku\locals~1\temp\svchost.exe','');
 DeleteFile('c:\docume~1\otaku\locals~1\temp\svchost.exe');
 QuarantineFile('D:\otherTEMP\winrarTEMP\Rar$EX13.520\winio.sys','');
 QuarantineFile('C:\WINDOWS\system32\DRIVERS\VPro.sys','');
 QuarantineFile('C:\Documents and Settings\otaku\Application Data\Egvuvy.exe','');
 DeleteFile('C:\Documents and Settings\otaku\Application Data\Egvuvy.exe');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Egvuvy');
ExecuteWizard('SCU', 2, 2, true);
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

После перезагрузки выполните скрипт в AVZ:

Код:

 begin
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
 end.

Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы "Прислать запрошенный карантин".

Сделайте заново лог virusinfo_syscheck.zip и лог HijackThis и приложите в теме.

**Rabbit2027** · 08.07.2011, 18:31

Вирус вроде бы не подаёт признаков жизни.
Логи прикрепил. А вот карантин пуст, по этому отправлять не стал.
Спасибо за помощь.

**Nikkollo** · 08.07.2011, 18:50

Подозрений более нет.

Помогите избавиться от вируса (заявка № 105403)

Опции темы