Повторное лечение

[lemurz9]

Добрый день!
Около месяца назад лечился у вас один комп (не мой)...
ситуация описана здесь http://virusinfo.info/showthread.php?t=18773
хозяин лечение до конца довести не захотел - долго...(в частности не удалось вычистить файл-зловред Duf54.sys в system32\drivers)
первое время еще как-то можно было работать, теперь опять пошли жалобы на постоянное зависание компа, очень медленную работу в интернете.
nod при загрузке сообщает, что заражен системный файл taskmgr.exe, иногда ругается еще на services.exe...
сама в логах avz из "старых знакомых" увидела только C:\WINDOWS\System32\drivers\protect.sys, да и тот не запущен..
Duf54.sys не вижу
Извините, что логи не по правилам (не все), было всего 15 минут на все про все...
завтра проверю drweb и сделаю лог HijackThis...
может быть кто-то сможет пока оценить ситуацию исходя из того, что есть?
заранее благодарю

[lemurz9]

вот логи

[akok]

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 SetServiceStart('Duf54', 4);  
 SetServiceStart('protect', 4);
 StopService('protect');
 QuarantineFile('C:\WINDOWS\System32\drivers\protect.sys','');
 DeleteFile('C:\WINDOWS\System32\drivers\protect.sys');
 DeleteService('protect');
 BC_ImportALL;
 BC_DeleteSvc('Duf54'); 
 BC_Activate;
 ExecuteSysClean;
 RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=20117


Повторите логи

[lemurz9]

наконец добралась до "больного"...
скрипт выполнен без ошибок.
вот новые логи, посмотрите, пожалуйста
какие дальнейшие действия?

[lemurz9]

Файл сохранён как 080325_053315_virus_47e8d4eb61f4d.zip
Размер файла 658
MD5 ba9947934aa7bdb8d2a4a65c7ef17054

[PavelA]

Предыдущие файлы успешно удалены, в карантин не попали.

Выполнить скрипт, прислать карантин.

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('sрoоlsv.exe','');
RebootWindows(true);
BC_ImportAll;
end.

[lemurz9]

скрипт выполнен без ошибок.
карантин пуст
жду дальнейших указаний

[PavelA]

Поищи этот файл через AVZ. Если не найдется, то надо просто профиксить эту строчку в логе HijackThis.

Второй вариант: повторить скрипт в Защищ. режиме (Safe Mode)

[lemurz9]

этих файлов раньше было 2:
один из них с печатью связан, насколько помню...
второй - наверное левый-вредоносный... легко удалялся вручную...
сейчас попробую поискать

Добавлено через 16 минут

нашлись двое, вроде бы оба системные...
c:\windows\system32\dllcache\spoolsv.exe
c:\windows\system32\spoolsv.exe
совершенно идентичные по размеру (57856 б) и дате создания\изменения (02.03.06)
раньше 2 штуки spoolsv.exe лежали в c:\windows\system32\
один из них я удаляла вручную, помнится...

Добавлено через 10 минут

в защищенном режиме скрипт выполнился - карантин пуст

Добавлено через 20 минут

в HijackThis пофиксила
повторить логи?

[lemurz9]

вот новые логи

[PavelA]

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 BC_DeleteSvc('FCI');
 BC_Activate;
 RebootWindows(true);
end.