Please HELP ! Одолел Win32/Pasex.Gen вирус

[ZDan]

Помогите, пожалуйста!
Пока работал сам все было ОК, пустил приятеля несколько дней - понеслось....
У меня не оч свежая машинка, офисного типа, Windows XP,стоит NOD 32. При открытии Total Commander начинает внизу слева на мониторе плевать сообщениями типа "Обьект: D\D1\I-net\Programs-in\dmaster.exe. Угроза: модифицированный Win32/Pasex.Gen вирус. Информация: очистка невозможна."
И так почти все ехе-шники. Половину ярлыков на раб.столе не определяет, Перестал открывать офисные приложения.
Я понимаю что вирусок не самый серьезный, может и пятиклассник какой с ним совладает, но увы я не продвинутый пользователь, и комп постоянно нужен и дома и по работе, но работаю только с определенными приложениями

[Info_bot]

Уважаемый(ая) ZDan, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[миднайт]

Закройте/выгрузите все программы кроме AVZ и Internet Explorer.

- Отключите Антивирус и Файрвол.
- Отключите Системное восстановление.

В AVZ выполните скрипт:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 TerminateProcessByName('c:\windows\logo1_.exe');
 DelBHO('{CA3EB689-8F09-4026-AA10-B9534C691CE0}');
 DelBHO('{95289393-33EA-4F8D-B952-483415B9C955}');
 QuarantineFile('C:\Program Files\internet explorer\svchost.exe','');
 QuarantineFile('C:\Program Files\internet explorer\smss.exe','');
 QuarantineFile('C:\WINDOWS\smss.exe','');
 QuarantineFile('C:\WINDOWS\rundll32.exe','');
 QuarantineFile('C:\WINDOWS\lsass.exe','');
 QuarantineFile('C:\WINDOWS\csrss.exe','');
 QuarantineFile('C:\WINDOWS\winlogon.exe','');
 QuarantineFile('C:\WINDOWS\svchost.exe','');
 QuarantineFile('C:\WINDOWS\services.exe','');
 QuarantineFile('C:\WINDOWS\uninstall\rundl132.exe','');
 QuarantineFile('C:\WINDOWS\RichDll.dll','');
 QuarantineFile('c:\windows\system32\fusservices.exe','');
 QuarantineFile('c:\windows\logo1_.exe','');
 DeleteFile('C:\WINDOWS\uninstall\rundl132.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','load');
 DeleteFile('C:\Program Files\internet explorer\svchost.exe');
 DeleteFile('C:\Program Files\internet explorer\smss.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После перезагрузки

Код:

begin 
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Пришлите карантин quarantine.zip по красной ссылке Прислать запрошенный карантин вверху темы.

[ZDan]

Здравствуйте ! Спасибо большое за помощь ! Зип карантина отправил по ссылке. Но ...
После скриптов проблема осталась - НОД ловит все тех же червей и пишет "Обьект: D\D1\I-net\Programs-in\dmaster.exe. Угроза: модифицированный Win32/Pasex.Gen вирус. Информация: очистка невозможна."
Хотя офисные приложения открываться стали, но как то корявенько... МНогие проги так и не открываются, те же плеера, типа Винамп

[миднайт]

В AVZ выполните скрипт:

Код:

Function RegKeyResetSecurityEx(ARoot, AName : string) : boolean;
var
i : integer; 
KeyList : TStringList;
KeyName : string;                           
begin
RegKeyResetSecurity(ARoot, AName);
KeyList := TStringList.Create;
RegKeyEnumKey(ARoot, AName, KeyList);
for i := 0 to KeyList.Count-1 do
 begin
 KeyName := AName+'\'+KeyList[i];
 RegKeyResetSecurity(ARoot, KeyName);
 RegKeyResetSecurityEx(ARoot, KeyName);
 end;
KeyList.Free;
end;
Function BC_ServiceKill(AServiceName : string; AIsSvcHosted : boolean = true) : byte;
var
 i : integer;
 KeyList : TStringList;
 KeyName : string;                           
begin
 Result := 0;
 if StopService(AServiceName) then Result := Result or 1;
 if DeleteService(AServiceName,  not(AIsSvcHosted)) then Result := Result or 2;
 KeyList := TStringList.Create;
 RegKeyEnumKey('HKLM','SYSTEM', KeyList);
 for i := 0 to KeyList.Count-1 do
  if pos('controlset', LowerCase(KeyList[i])) > 0 then begin
   KeyName := 'SYSTEM\'+KeyList[i]+'\Services\'+AServiceName;                                     
   if RegKeyExistsEx('HKLM', KeyName) then begin
    Result := Result or 4;                  
    RegKeyResetSecurityEx('HKLM', KeyName);
    RegKeyDel('HKLM', KeyName);
    if RegKeyExistsEx('HKLM', KeyName) then               
     Result := Result or 8;                  
   end;
  end;                 
 if AIsSvcHosted then
  BC_DeleteSvcReg(AServiceName)
 else
  BC_DeleteSvc(AServiceName);
 KeyList.Free;
end;
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteFile('c:\windows\logo1_.exe');
 DeleteFile('C:\WINDOWS\services.exe');
 DeleteFile('C:\WINDOWS\svchost.exe');
 DeleteFile('C:\WINDOWS\winlogon.exe');
 DeleteFile('C:\WINDOWS\csrss.exe');
 DeleteFile('C:\WINDOWS\lsass.exe');
 DeleteFile('C:\WINDOWS\rundll32.exe');
 DeleteFile('C:\WINDOWS\smss.exe');
 DeleteFile('C:\Program Files\internet explorer\smss.exe');
 DeleteFile('C:\Program Files\internet explorer\svchost.exe');
BC_ImportAll;
ExecuteSysClean;
 AddToLog(inttostr(BC_ServiceKill('muimfq')) );
 SaveLog(GetAVZDirectory+'avz_log.txt');
BC_Activate;
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Eventlog\System\SISNIC','EventMessageFile','C:\WINDOWS\System32\netevent.dll');
SetAVZPMStatus(True);
RebootWindows(true);
end.

После перезагрузки повторите логи.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 37
• В ходе лечения вредоносные программы в карантинах не обнаружены