try-count wind32 vedxg6ame4.exe

[17_sqrt_2]

Сразу извиняюсь, что не по правилам, но не получается:

запуск cureit или avz с попытками малейшего лечения приводит к мгновенной перезагрузке компьютера и последующему сообщению: "Система восстановлена после серьезной ошибки".

Теперь, по порядку, что случилось:
1. со слов пользователей, пропала сеть
2. Выяснилось, что блочит виндовый файрволл. В нем некие приложения разрешены, остальное в блок
3. Отключил службу. Поставил НОД32. Он что-то полечил и стал ругаться на загрузку троянов с try-count.net, но до конца не лечил
4. гугл помог найти описанные в заголовке файлы и привел сюда
5. попытался сделать все по правилам, но (см. выше) получилось только highjackit, который вроде как избавил от автозагрузки, но:
-не запускается Диспетчер задач
-не сканят avz и cureit
-кушается трафик

Хотелось бы получть совет, что делать
Переустановка системы крайне не желательна

[drongo]

вот: http://depositfiles.com/en/files/5199765
скачать, запустить и сделать логи.(базы нельзя обновлять! , механизм не работает, всё что нужно -внутри )
это модифицированная и полиморфная специальная версия avz.

[17_sqrt_2]

скачал, запустил, не обновлялся, запустил "Скрипт лечения/карантина и сбора информации для раздела "Помогите!" virusinfo.info" упало в перезагрузку снова

сработал вроде бы корректно только "Скрипт сбора информации для раздела "Помогите!" virusinfo.info"

лог вкладываю

[V_Bond]

скачайте ll, C:\WINDOWS\System32\Drivers\Tncx51.sys - force delete
выполните скрипт ...

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('WLCtrl32.dll','');
 QuarantineFile('C:\WINDOWS\winlogon.exe','');
 QuarantineFile('C:\WINDOWS\system32\wlogon32.dll','');
 QuarantineFile('C:\WINDOWS\system32\wind32.exe','');
 BC_DeleteSvc('taskmon.sys');
 QuarantineFile('C:\WINDOWS\system32\taskmon.sys','');
 BC_DeleteSvc('Kqw40');
 BC_DeleteSvc('W32TimeNetlogon');
 BC_DeleteSvc('Spoolerstisvc');
 QuarantineFile('C:\WINDOWS\system32\admparsew.exe','');
 BC_DeleteSvc('lanmanserverVSS');
 BC_DeleteSvc('lanmanserverSharedAccess');
 QuarantineFile('C:\WINDOWS\system32\12520850d.exe','');
 BC_DeleteSvc('EventSystemCryptSvc');
 QuarantineFile('C:\WINDOWS\system32\1042q.exe','');
 QuarantineFile('Tncx51.sys','');
 BC_DeleteSvc('Tncx51');
 DeleteFile('Tncx51.sys');
 DeleteFile('C:\WINDOWS\system32\1042q.exe');
 DeleteFile('C:\WINDOWS\system32\12520850d.exe');
 DeleteFile('C:\WINDOWS\system32\admparsew.exe');
 DeleteFile('C:\WINDOWS\System32\Drivers\Kqw40.sys');
 DeleteFile('C:\WINDOWS\system32\taskmon.sys');
 DeleteFile('C:\WINDOWS\system32\wind32.exe');
 DeleteFile('C:\WINDOWS\system32\wlogon32.dll');
 DeleteFile('C:\WINDOWS\winlogon.exe');
 DeleteFile('WLCtrl32.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

пришлите карантин согласно приложения 3 правил ...
повторите логи ...

[17_sqrt_2]

карантин вроде как по правилам сохранил сюда:
http://virusinfo.info/upload_virus.php

Там сказало:
Результат загрузки
Файл сохранён как 080508_090100_virus_4823079c75744.zip
Размер файла 46064
MD5 d4544b550c4ef18e587f9a2dfcad5aee
Файл закачан, спасибо!

логи приложил

[V_Bond]

Мастер поиска и устранения проблем - выбрать все проблемы устранить ...
выполните скрипт ....

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\dllgh8jkd1q7.exe','');
 QuarantineFile('C:\WINDOWS\system32\dllgh8jkd1q6.exe','');
 DeleteService('diperto60e3-35c');
 DeleteService('diperto4d0e-3421');
 QuarantineFile('C:\WINDOWS\system32\diperto60e3-35c.sys','');
 QuarantineFile('C:\WINDOWS\system32\diperto4d0e-3421.sys','');
 DeleteFile('C:\WINDOWS\system32\diperto4d0e-3421.sys');
 DeleteFile('C:\WINDOWS\system32\diperto60e3-35c.sys');
 DeleteFile('C:\WINDOWS\system32\dllgh8jkd1q6.exe');
 DeleteFile('C:\WINDOWS\system32\dllgh8jkd1q7.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

пришлите карантин согласно приложения 3 правил ...
повторите логи ...

[17_sqrt_2]

карантин пуст

логи вот

по симтомам вроде все, спасибо

[V_Bond]

выполните скрипт ...

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\drivers\symavc32.sys','');
DeleteFile('C:\WINDOWS\system32\drivers\symavc32.sys');
BC_DeleteSvc('asc3550p');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

пришлите карантин согласно приложения 3 правил ...
повторите логи ...