Остатки вируса типа: "у вас обнаружен, зайдите скачайте..."

[pikapika]

Добрый день!
Был обнаружен вирус типа iSecure что-то там, который предлагал установить свои файлы, заявляя, что у меня обнаружены вирусы. После прочтения похожей проблемы на этом форуме тут, папку удалось удалить, но есть ощущения, что зараза еще осталась где-то.
Файлы прилагаю, спасибо за любые советы!

[V_Bond]

выполните скрипт ...

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DelBHO('{f2f2a4cb-daad-4d0c-bdfc-e945647202c2}');
 QuarantineFile('c:\autoex.dll','');
 DelBHO('{b5af0562-94f3-42bd-f434-2604812c797d}');
 DelBHO('{b5ac49a2-94f2-42bd-f434-2604812c897d}');
 DelBHO('{984C42AE-0B1D-4495-B16B-935DA5671133}');
 QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
 QuarantineFile('C:\WINDOWS\system32\hdxjd4g.dll','');
 QuarantineFile('C:\WINDOWS\system32\djki397g.dll','');
 QuarantineFile('C:\WINDOWS\TEMP\winlagon.exe','');
 BC_DeleteSvc('sywtdxaz');
 QuarantineFile('C:\WINDOWS\system32\sywtdxaz.sys','');
 BC_DeleteSvc('msupdate');
 QuarantineFile('C:\WINDOWS\system32\msinet.exe','');
 DeleteFile('C:\WINDOWS\system32\msinet.exe');
 DeleteFile('C:\WINDOWS\system32\sywtdxaz.sys');
 DeleteFile('C:\WINDOWS\TEMP\winlagon.exe');
 DeleteFile('C:\WINDOWS\system32\djki397g.dll');
 DeleteFile('C:\WINDOWS\system32\hdxjd4g.dll');
 DeleteFile('C:\WINDOWS\system32\ntos.exe');
 DeleteFile('C:\WINDOWS\system32\763444\763444.dll');
 DeleteFile('c:\autoex.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

пришлите карантин согласно приложения 3 правил ...
повторите логи ...

[pikapika]

Скрипт выпонил, карантин выслал, логи высылаю свежие!

[V_Bond]

пофиксите ...

Код:

R1 - HKLM\Software\Microsoft\Internet Explorer,SearchURL = http://internetsearchservice.com
R1 - HKLM\Software\Microsoft\Internet Explorer,SearchURL = http://internetsearchservice.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://internetsearchservice.com/ie6.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://internetsearchservice.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://internetsearchservice.com
O17 - HKLM\System\CCS\Services\Tcpip\..\{520F9907-1AF4-4E64-A132-9B9F7DD7BF2C}: NameServer = 85.255.115.157,85.255.112.14
O17 - HKLM\System\CCS\Services\Tcpip\..\{5F1E291A-72F1-41E7-84B8-FEE326F134F8}: NameServer = 85.255.115.157,85.255.112.14
O17 - HKLM\System\CCS\Services\Tcpip\..\{9C675692-9ED6-45DF-8FC3-18707E355E49}: NameServer = 85.255.115.157,85.255.112.14
17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.115.157 85.255.112.14
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.115.157 85.255.112.14
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.115.157 85.255.112.14

выполните скрипт ...

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\TEMP\csrssc.exe','');
 QuarantineFile('C:\WINDOWS\Resources\KbdRunOnce.dll','');
 DeleteFile('C:\WINDOWS\Resources\KbdRunOnce.dll');
 DeleteFile('C:\WINDOWS\TEMP\csrssc.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

пришлите карантин согласно приложения 3 правил ...
повторите логи ...

[pikapika]

Все сделано!

[V_Bond]

в логах ничего подозрительного ....
какие- то проблемы остались ?

[pikapika]

в логах ничего подозрительного ....
какие- то проблемы остались ?

Похоже, что нет, очень Вам благодарен!!!

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 2
• Обработано файлов: 11
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\\program files\\ie extensions\\cj.v5.dll - Trojan.Win32.Emgr.ah (DrWEB: Trojan.BhoBot.12)
  2. c:\\program files\\isecurity\\v12\\isecurity.cpl - Trojan.Win32.Emgr.af (DrWEB: Trojan.Fakealert.757)
  3. c:\\windows\\resources\\kbdrunonce.dll - Trojan.Win32.Agent.rtx (DrWEB: Trojan.Cjf)
  4. c:\\windows\\system32\\isecurity.cpl - Trojan.Win32.Emgr.ag (DrWEB: Trojan.Fakealert.756)
  5. c:\\windows\\system32\\msinet.exe - Trojan.Win32.Inject.czh (DrWEB: Trojan.Rubanok)