Опять схватила "рассылочный" вирус

[savanna]

Схватила вирус, жрёт исходящий трафик. После проверки авзом, всё равно жрёт, сейчас пишу, а одновременно рассыль идёт с моего компа(((
Отчёты присоединила

[V_Bond]

скачайте C:\WINDOWS\system32\Drivers\Qxe85.sys
C:\WINDOWS\System32\drivers\tcpsr.sys - force delete
обновите базы авз ...

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
BC_DeleteSvc('Gms74');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Gms74.sys','');
BC_DeleteSvc('tcpsr');
BC_DeleteSvc('Qxe85');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Qxe85.sys','');
BC_DeleteSvc('Google Online Services');
 QuarantineFile('C:\ie_updates3r.exe','');
BC_DeleteSvc('Schedule');
 QuarantineFile('C:\WINDOWS\system32\drivers\spools.exe','');
 QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys','');
 QuarantineFile('C:\WINDOWS\system32\Drivers\Qxe85.sys','');
 QuarantineFile('C:\WINDOWS\system32\WinNt32.dll','');
 QuarantineFile('C:\WINDOWS\system32\vedxga1me4t1.exe','');
 QuarantineFile('C:\WINDOWS\system32\uato593.exe','');
 QuarantineFile('c:\windows\system32\wind32.exe','');
 QuarantineFile('c:\windows\system32\vedxga1me4t1.exe','');
 QuarantineFile('c:\windows\system32\uato593.exe','');
 QuarantineFile('c:\docume~1\АННА\locals~1\temp\csrssc.exe','');
 DeleteFile('c:\docume~1\АННА\locals~1\temp\csrssc.exe');
 DeleteFile('c:\windows\system32\uato593.exe');
 DeleteFile('c:\windows\system32\vedxga1me4t1.exe');
 DeleteFile('c:\windows\system32\wind32.exe');
 DeleteFile('C:\WINDOWS\system32\uato593.exe');
 DeleteFile('C:\WINDOWS\system32\vedxga1me4t1.exe');
 DeleteFile('C:\WINDOWS\system32\WinNt32.dll');
 DeleteFile('C:\WINDOWS\system32\Drivers\Qxe85.sys');
 DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
 DeleteFile('C:\WINDOWS\system32\drivers\spools.exe');
 DeleteFile('C:\ie_updates3r.exe');
 DeleteFile('C:\WINDOWS\System32\Drivers\Qxe85.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Gms74.sys');
 DeleteFile('WinNt32.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

пришлите карантин согласно приложения 3 правил ...
повторите логи ...

[savanna]

Скрипты выполнила. Файл C:\WINDOWS\system32\Drivers\Qxe85.sys удалитьне удаётся. Подскажите, как это сделать? Пишет: нет доступа или файл уже используется. Программу, которую надо скачать - скачала, но что делать с ней дальше? Я на английском языке мало что понимаю(
Логи повторного сканирования и карантин высылаю. Трафик по прежнему «жрётся»(((


[moderated: Карантин нужно присылать согласно приложения 3 правил]

[V_Bond]

в IceSword все просто (делать все равно придется ) ... нажать file появится проводник ... найти C:\WINDOWS\system32\Drivers\Qxe85.sys
C:\WINDOWS\System32\drivers\tcpsr.sys - force delete (правой кнопкой мышки)
выполните скрипт ...

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 BC_DeleteSvc('tcpsr');
 BC_DeleteSvc('Qxe85');
 QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys','');
 QuarantineFile('C:\WINDOWS\system32\Drivers\Qxe85.sys','');
 QuarantineFile('C:\Program Files\Internet Explorer\SETUPAPI.dll','');
 DeleteFile('C:\Program Files\Internet Explorer\SETUPAPI.dll');
 DeleteFile('C:\WINDOWS\system32\WinNt32.dll');
 DeleteFile('C:\WINDOWS\system32\Drivers\Qxe85.sys');
 DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
 DeleteFile('WinNt32.dll');
BC_ImportDeletedList;
ExecuteRepair(9);
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

повторите логи ..

[savanna]

Спасибо за пояснение, файлы принудительно удалила в IceSword. Скрипт выполнила. Логи прилагаю.

[V_Bond]

выполните скрипт ...

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\maxpaynow1.exe','');
 QuarantineFile('C:\WINDOWS\Temp\istat.exe','');
 DeleteFile('C:\WINDOWS\Temp\istat.exe');
 DeleteFile('C:\WINDOWS\system32\maxpaynow1.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

пришлите карантин согласно приложения 3 правил ...
повторите логи ...

[savanna]

Скрипт выполнила. Прилагаю запрошенное.

[V_Bond]

пофиксите ...

Код:

O20 - Winlogon Notify: WinNt32 - C:\WINDOWS\

AVZ -Мастер поиска и устранения проблем - выбрать все устранить ..
больше ничего плохого в логах ...

[savanna]

Большое спасибо за лечение моего компУтера))) После лечения такой вопрос - у меня стоит Аваст, так вот у него исчезла резидентная защита. То есть перестал появляться в правом углу на панели задач вертящийся кружочек с буковкой А. Как восстановить её? Отчего это произошло.? В настройках Аваста написано, что

"Вы не должны запусать каждый раз ее (она активизируется автоматически, когда Вы включаете ваш компьютер) и если все - хорошо, Вы не будете даже замечать, что она работает. Ее присутствие в системе обозначено маленьким изображением символа avast! (строчная буква 'a' в шаре) в области уведомления (рядом с часами)"

Но теперь этого не стало и я голову сломала, как её включить, обыскалась в настройках и параметрах Аваста. но увы...А то я осталась без антивирусника, хоть он и не помог мне в этот раз, но тревогу сразу поднял!!

[V_Bond]

исчезла иконка и пропала защита разные вещи ...
в логах аваст активен ...

[savanna]

Спасибо, успокоили. Значит сканирование идёт))) А как иконку бы вернуть, для успокоения глаз и души, и почему она исчезла?))

[V_Bond]

пробуем так ... свойства панели задач - настроить ...

[savanna]

Так пробовала, поставила ВСЕГДА отображать, даже если не активен. Не отображатся((( Я поэтому и забеспокоилась, что если не отображается, то значит не работает... Сломала уже голову))), где бы настроить.... А исчезла она в процессе лечения после одной из перезагрузок.

[kps]

Попробуйте переустановить Аваст.

[savanna]

Хорошо, вечером попробую переустановить Аваст. Кстати заметила, что раньше ещё на этой панельке был значок работы браузера (восклицательный знак на жёлтом фоне), а также значок обновления системы, сейчас их тоже не стало. Но их мне и не надо))))