Опять вирусы.мин.2!

[Coollest]

Здравствуйте! У меня вот такая проблема, вчера при заходе на какой-то сайт вышла панелька аваста с криками, что вирусы, это были файлы: C://windows/system32/olethk32g.dll , и Winfl16.sys в папку драйверс, все переместил в хранилище, при запуске опять компа файл вируса в дравйверса опять появляется и начинается с буквы Win****.sys. Аваст сам выключился и теперь в тре его нет, только все время идет траффик инета и видно, чтоаваст сканирует какие-то почтовые сервера гугла ммаила яндекса и еще какие-то. вижу в процессах у меня 6 свхостов. один из них жрет 10%цп. убрал - инет жраться перестал, из аутлука отправляются письма нормально. Желательно, чтобы опять щаработало восстановление системы, а то оно не равботает!! Выкладываю логи.ъ
з.ы. комп проверял и куреитом. не помог.

[Гриша]

Отключите антивирус,восстановление системы и интернет!

Скачать,меню,File,появится аналог проводника,найти:

Код:

c:\windows\system32\winhelp32.exe
C:\WINDOWS\system32\vmmreg32.dll
C:\WINDOWS\system32\winhelp32.exe
C:\WINDOWS\SYSTEM32\drivers\VIDEO.sys
C:\WINDOWS\SYSTEM32\webmin\VIDEO.bkp
C:\WINDOWS\SYSTEM32\webmin\vmmreg32.bkp
C:\WINDOWS\SYSTEM32\webmin\winhelp32.exe
C:\WINDOWS\SYSTEM32\winhelp32.exe
C:\WINDOWS\system32\WinCtrl32.dll

правая кнопка мыши Force Delete на запрос о перезагрузке ответьте положительно.

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\services.exe','');
 QuarantineFile('C:\Documents and Settings\Администратор.КОМПЬЮТЕР\Local Settings\Temp\loader.exe','');
 QuarantineFile('C:\WINDOWS\system32\drivers\Winxe74.sys','');
 DelBHO('{7C6E1044-DBF1-EDB3-57BB-D40A130EA5BD}');
 QuarantineFile('C:\WINDOWS\SYSTEM32\webmin\winhelp32.exe','');
 QuarantineFile('C:\WINDOWS\SYSTEM32\webmin\winhelp32.bkp','');
 QuarantineFile('C:\WINDOWS\SYSTEM32\webmin\vmmreg32.bkp','');
 QuarantineFile('C:\WINDOWS\SYSTEM32\webmin\VIDEO.bkp','');
 DeleteService('Winxf85');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winxf85.sys','');
 DeleteService('VIDEO');
 QuarantineFile('C:\WINDOWS\SYSTEM32\drivers\VIDEO.sys','');
 DeleteService('TermServiceWmdmPmSN');
 DeleteService('SpoolerDcomLaunch');
 DeleteService('ScheduleSysmonLog');
 DeleteService('SamSsTapiSrv');
 QuarantineFile('srv.exe','');
 QuarantineFile('C:\WINDOWS\system32\winhelp32.exe','');
 QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll','');
 QuarantineFile('C:\WINDOWS\system32\vmmreg32.dll','');
 QuarantineFile('c:\windows\system32\winhelp32.exe','');
 TerminateProcessByName('c:\windows\system32\winhelp32.exe');
 DeleteFile('c:\windows\system32\winhelp32.exe');
 DeleteFile('C:\WINDOWS\system32\vmmreg32.dll');
 DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
 DeleteFile('C:\WINDOWS\system32\winhelp32.exe');
 DeleteFile('srv.exe');
 DeleteFile('C:\WINDOWS\SYSTEM32\drivers\VIDEO.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winxf85.sys');
 DeleteFile('C:\WINDOWS\SYSTEM32\webmin\VIDEO.bkp');
 DeleteFile('C:\WINDOWS\SYSTEM32\webmin\vmmreg32.bkp');
 DeleteFile('C:\WINDOWS\SYSTEM32\webmin\winhelp32.bkp');
 DeleteFile('C:\WINDOWS\SYSTEM32\webmin\winhelp32.exe');
 DeleteFile('WinCtrl32.dll');
 DeleteFile('C:\WINDOWS\system32\drivers\Winxe74.sys');
 DeleteFile('C:\Documents and Settings\Администратор.КОМПЬЮТЕР\Local Settings\Temp\loader.exe');
 DeleteFile('C:\WINDOWS\services.exe');
BC_ImportALL;  
ExecuteSysClean;
BC_DeleteSvc('VIDEO');    
BC_Activate;
RebootWindows(true);
end.

Пришлите карантин по правилам и повторите логи...

[Coollest]

080813_043845_virus_48a2aba5014bc.zip
Вот кинул карантин. теперь вопрорс, у меня фат32 и при входе трудно, приходится пропускать проверку файл чек вот там проценты. может 1 раз не пропуститть и тада она не будет больше выскальзывать? И еще. логи щас сделаю, можно удалить аваст и какой поставить лучше? готв платить до 500р.

[Coollest]

Вот логи, во время проверки нашел вирусы в папке драйверс, начинающиеся с Win***, нету кстатит значка где язык русский англ.аваста в трее тоже;( насчет имейла вроде все впоряде свчост не кушает цп(тут как надо вроде)

[V_Bond]

пофиксите ...

Код:

O4 - HKUS\S-1-5-19\..\Run: [Windows Help Service] C:\WINDOWS\SYSTEM32\winhelp32.exe (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\RunOnce: [Windows Help Service] C:\WINDOWS\SYSTEM32\winhelp32.exe (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [Windows Help Service] C:\WINDOWS\SYSTEM32\winhelp32.exe (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-20\..\RunOnce: [Windows Help Service] C:\WINDOWS\SYSTEM32\winhelp32.exe (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-19\..\Run: [Windows Help Service] C:\WINDOWS\SYSTEM32\winhelp32.exe (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\RunOnce: [Windows Help Service] C:\WINDOWS\SYSTEM32\winhelp32.exe (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [Windows Help Service] C:\WINDOWS\SYSTEM32\winhelp32.exe (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-20\..\RunOnce: [Windows Help Service] C:\WINDOWS\SYSTEM32\winhelp32.exe (User 'NETWORK SERVICE')
O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\

выполните скрипт ....

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\DRIVERS\yrtumdriver.sys','');
 DeleteService('Winsy84');
 DeleteService('Windj52');
 DeleteFile('C:\WINDOWS\System32\drivers\Windj52.sys');
 DeleteFile('C:\WINDOWS\System32\drivers\Winsy84.sys');
 DeleteFile('C:\WINDOWS\system32\drivers\Winsy84.sys');
 DeleteFile('C:\WINDOWS\system32\drivers\Windj52.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

пришлите карантин согласно приложения 3 правил ....
повторите логи ...

[Coollest]

Файл сохранён как080813_061706_virus_48a2c2b2e3501.zipРазмер файла271916MD552e877ebd5538f3e1b29d1145d805302Виру с в папкее драйверс не появился, в трее все показывает, тока аваст нек подгрузился никак;( хотя в процессах есть авасты(4).
Логи выложу вечером надо убегать. нет значка RU-EN ниче страшного??
Кста при включении выдает фат32 файл чек, можно его не отменять?

[V_Bond]

Логи выложу вечером надо убегать. нет значка RU-EN ниче страшного??

страшного ничего... поправимо

Кста при включении выдает фат32 файл чек, можно его не отменять?

нужно не отменять ...

[Coollest]

Закинул логи, посмотрите пожалуйста! комп работает вроде норм!
Тока нет панели ру-ен. хочется чтобы эта языковая панелька была) ТЕперь восстановление заработает?

[V_Bond]

восстановление не отключено ..

Код:

Восстановление системы: включено

.про языковую панель

[Coollest]

языковую панель сделал. комп чист могу работать??? как монжо напрямую тебе перекинуть ленег, кинь свой моб в личку, я те положу на счет.

[V_Bond]

вы можете поддержать проэкт

[Coollest]

не получается отправь смс копилку. кинь пож в лс свой номер.

Добавлено через 1 час 44 минуты

Спс, отправил в смс копилку!!! Спасибо большое!!! все работает классно!

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 2
• Обработано файлов: 69
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\\documents and settings\\администратор.компьютер\\local settings\\temp\\loader.exe - Trojan.Win32.Agent.ypm (DrWEB: Trojan.DownLoad.2077)
  2. c:\\system volume information\\_restore{15b46a87-1e6e-44fb-b15c-68d90b8d38e8}\\rp263\\a0087667.sys - Trojan-Downloader.Win32.Mutant.aim (DrWEB: Trojan.Rntm.10)
  3. c:\\windows\\services.exe - Backdoor.Win32.Joleee.f (DrWEB: Trojan.Packed.573)
  4. c:\\windows\\system32\\drivers\\windj52.sys - Trojan-Downloader.Win32.Mutant.aim (DrWEB: Trojan.Rntm.10)
  5. c:\\windows\\system32\\drivers\\winsy84.sys - Trojan-Downloader.Win32.Mutant.aim (DrWEB: Trojan.Rntm.10)
  6. c:\\windows\\system32\\drivers\\winxe74.sys - Trojan-Downloader.Win32.Mutant.aim (DrWEB: Trojan.Rntm.10)