Опять Backdoor.Bulknet и др.

[ZAZAZOO]

Млин, целый час описывал ситуацию произошедшую у меня, а при просмотре сообщения не стал в десятый раз логиниться, а вернулся назад ...

Теперь моё сообщение будет коротким ...

Ситуация с вирусом примерно как описывалась ранее, только у меня процессы подменяются и раздваиваются.

Безопасный режим - синий экран.
Восстановление системы - проверено - чисто.

Нужна помощь ...

[ZAZAZOO]

Надеюсь сейчас файлы вложатся

[ZAZAZOO]

Почему вложения не прикрепляются?

[Bratez]

Кнопочку "Загрузить" в Управлении вложениями не забыли нажать?

[ZAZAZOO]

SOS. Нарушился графический интерфейс и работа многих программ в частности AVZ.
Поэтому высылаю не самые свежие логи. До этого загружались с ошибкой, как я понял.

мои логи (в третий раз):

[Bratez]

С помощью AVZ найдите и пришлите следующие файлы
(см. прилож.2 правил):
C:\WINDOWS\vsnpstd2.exe
C:\WINDOWS\Temp\startdrv.exe
L:\TEMP\winlogon.exe
C:\WINDOWS\system32\svshost.dll
C:\WINDOWS\system32\atixdaxx.dll
D:\autorun.inf
F:\autorun.inf
два последних - если D и F соответственно не явл. CD/DVD приводами.

[PavelA]

Логи сделать в Safe Mode тоже не получается?
Многовато зловредов у Вас завелось.

Попробуем так:
Профиксить в hijackthis:

Код:

F2 - REG:system.ini: Shell=
O4 - HKLM\..\Run: [startdrv] C:\WINDOWS\Temp\startdrv.exe
O4 - HKCU\..\Run: [Firewall auto setup] L:\TEMP\winlogon.exe
O21 - SSODL: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9}|%SystemRoot%\system32\SHELL32.dll - (no file)
O21 - SSODL: SysRun - {D7FFD784-5276-42D1-887B-00267870A4C7} - C:\WINDOWS\system32\svshost.dll
O20 - Winlogon Notify: atixdaxx - atixdaxx.dll (file missing)

[ZAZAZOO]

AVZ не функцианирует, т. к. закрашены чёрными прямоугольниками кнопки пуск и стоп. Уже писал об испорченном графическом интерфейсе и не работоспособности программ, даже после переустановки.

Файлы попробую найти вручную и выслать в архиве RAR.

[ZAZAZOO]

При загрузке в безопасном режиме вылетает синий экран.

[ZAZAZOO]

После hijackthis надо перезагружаться?

[Bratez]

После hijackthis надо перезагружаться?

Надо.

[ZAZAZOO]

Заработал AVZ.
мой карантин с файлами (vsnpstd2.dll не скопировался в карантин):

[PavelA]

Написано же русским языком: Прицеплять вирусы к теме запрещено!!!
Для этого есть ссылка вверху темы.

[ZAZAZOO]

Sorri, засуетился.

[Bratez]

Выполните скрипт в AVZ:

Код:

begin
searchrootkit(true,true);
setavzguardstatus(true);
deletefile('C:\WINDOWS\Temp\startdrv.exe');
deletefile('L:\TEMP\winlogon.exe');
deletefile('C:\WINDOWS\system32\svshost.dll');
deletefile('C:\WINDOWS\system32\atixdaxx.dll');
bc_importdeletedlist;
executesysclean;
bc_deletesvc('runtime');
bc_deletesvc('runtime2');
bc_activate;
rebootwindows(true);
end.

После перезагрузки, надеюсь, получится сделать логи в нормальном режиме.

[ZAZAZOO]

Спасибо за помощь.
Кстати, у меня нет или возможно был на первом этапе удалён файл 'C:\WINDOWS\Temp\startdrv.exe'. Всё происходит без него.
Появляется периодически странный файл rasautou.exe (outpost распознаёт его как Remote Access Dialer)

Правильные логи:

[ZAZAZOO]

Высылаю запрошенные выше файлы

C:\WINDOWS\Temp\startdrv.exe
L:\TEMP\winlogon.exe
C:\WINDOWS\system32\svshost.dll
C:\WINDOWS\system32\atixdaxx.dll

C:\WINDOWS\vsnpstd2.exe - отсутствует в карантине и в инфектед

Файл сохранён как 070627_210538_virus_468298e21dd9f.zip
Размер файла 59871
MD5 566a989a63a3e7b4cbb742cafee7a164

[Bratez]

Высылаю запрошенные выше файлы

Дык присылали уже
Больше ничего подозрительного не вижу.
Какие-то проблемы еще остались?