не могу удалить вирус

[stasura]

здавствуйте!!!
последние несколько дней постоянно др.Вэб обнаруживает вирусы.
думаю, это "надстройка" в эксплорере - awvtt.dll , потому как при её отключении и перезапуске компа она снова включена и снова эксплорер втихаря подкачивает вирусы. заранее спасибо

[Макcим]

Выполните скрипт в AVZ

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\txbmtqof.dll','');
 QuarantineFile('C:\WINDOWS\system32\winhoq32.dll','');
 QuarantineFile('C:\WINDOWS\system32\pmnliij.dll','');
 QuarantineFile('C:\WINDOWS\system32\awvtt.dll','');
 DeleteFile('C:\WINDOWS\system32\awvtt.dll');
 DeleteFile('C:\WINDOWS\system32\pmnliij.dll');
 DeleteFile('C:\WINDOWS\system32\winhoq32.dll');
 DeleteFile('C:\WINDOWS\system32\txbmtqof.dll');
 BC_ImportALL;
 ExecuteSysClean;
 BC_Activate;
 RebootWindows(true);
end.

"Пофиксите" в HijackThis

Код:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://global.acer.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://shell.windows.com/fileassoc/fileassoc.asp?LangID=0419&Ext=key

Пришлите файлы карантина по правилам раздела "Помогите". Повторите логи.

[stasura]

не совсем понял куда слать карантин

[Kuzz]

Прислать запрошенные файлы вверху темы.

[stasura]

с карантином разобрался

[stasura]

вот логи

[Bratez]

Все успешно удалилось. Осталось пофиксить в HijackThis:

Код:

O2 - BHO: (no name) - {1F6581D5-AA53-4b73-A6F9-41420C6B61F1} - C:\WINDOWS\system32\txbmtqof.dll (file missing)
O2 - BHO: (no name) - {88135CD0-5447-42BD-A458-4DE73B2DAFDA} - C:\WINDOWS\system32\awvtt.dll (file missing)
O2 - BHO: (no name) - {A6807262-1D7A-44AB-947B-23B71E97915C} - C:\WINDOWS\system32\pmnliij.dll (file missing)
O20 - Winlogon Notify: awvtt - C:\WINDOWS\
O20 - Winlogon Notify: pmnliij - pmnliij.dll (file missing)
O20 - Winlogon Notify: winhoq32 - winhoq32.dll (file missing)

[stasura]

профиксил. огромное спасибо за помощь!!!

[drongo]

Чтобы уменьшить шанс заражения советуем на будущее :
1) Работать за компьютером с правами ограниченного пользователя.
2) Пользоваться для хождения по интернету альтернативным браузером с отключёнными скриптами по умолчанию (Firefox и Opera это позволяют делать в отличии от IE 7 ,6....)
3) Прочитать электронную книгу "Безопасный Интернет". Универсальная защита для Windows ME - Vista": http://security-advisory.newmail.ru

Вы можете нас отблагодарить, оказав нам помощь в сборе базы безопасных файлов : http://virusinfo.info/showthread.php?t=3519
Мы будем Вам очень благодарны!

Удачи!

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 14
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\\windows\\system32\\awvtt.dll - not-a-virus:AdWare.Win32.Virtumonde.kr (DrWEB: Trojan.Virtumod)
  2. c:\\windows\\system32\\pmnliij.dll - not-a-virus:AdWare.Win32.Virtumonde.jp (DrWEB: Trojan.Virtumod)
  3. c:\\windows\\system32\\txbmtqof.dll - Trojan.Win32.BHO.bd (DrWEB: Trojan.Virtumod)
  4. c:\\windows\\system32\\winhoq32.dll - Trojan.Win32.Dialer.qn (DrWEB: Trojan.Mezzia)