Касперский вылетает в синий экран

[Cyborg5022]

Добрый вечер!

Близкая родственница в другом городе нахватала вирусов.
Касперский при проверке вылетает в синий экран, на Рабочем столе картинка с предупреждением о вирусах, в памяти странные процессы висят, свойства рабочего стола частично скрыты.

Посмотрите, пожалуйста, логи и погогите вылечить.

Подключаюсь к ней через Радмин и логи собирал так же.

[V_Bond]

скачайте C:\WINDOWS\system32\Drivers\Winag17.sys - force delete
выполните скрипт ...

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\Documents and Settings\Администратор\Local Settings\Temp\loader.exe','');
 QuarantineFile('C:\WINDOWS\system32\oembios.exe','');
 QuarantineFile('C:\WINDOWS\services.exe','');
 DeleteService('smtpdrv');
 QuarantineFile('C:\WINDOWS\system32\DRIVERS\smtpdrv.sys','');
 DeleteService('Winag17');
 QuarantineFile('C:\WINDOWS\system32\Drivers\Winag17.sys','');
 QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll','');
 QuarantineFile('c:\windows\system32\lphc1roj0ets1.exe','');
 DeleteFile('c:\windows\system32\lphc1roj0ets1.exe');
 DeleteFile('C:\WINDOWS\system32\lphc1roj0ets1.exe');
 DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
 DeleteFile('C:\WINDOWS\system32\Drivers\Winag17.sys');
 DeleteFile('C:\WINDOWS\system32\DRIVERS\smtpdrv.sys');
 DeleteFile('C:\WINDOWS\system32\blphc1roj0ets1.scr');
 DeleteFile('C:\WINDOWS\services.exe');
 DeleteFile('C:\WINDOWS\system32\oembios.exe');
 DeleteFile('WinCtrl32.dll');
 DeleteFile('C:\Documents and Settings\Администратор\Local Settings\Temp\loader.exe');
BC_ImportDeletedList;
ExecuteRepair(5);
ExecuteRepair(6);
ExecuteRepair(8);
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

пофиксите ...

Код:

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\oembios.exe,

пришлите карантин согласно приложения 3 правил ...
повторите логи ...

[Cyborg5022]

пофиксите ...

Код:

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\oembios.exe,

Вот эту строчку не нашел, видимо вчера уже пофиксил исправляя автозагрузку во время ожидания ответа.

Карантин отправил. Логи прикрепляю.

В свойствах экрана вкладки не появились. Восстановлю сам при помощь AVZ.

[V_Bond]

скачайте C:\WINDOWS\System32\Drivers\Winag17.sys - force delete
выполните скрипт ...

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\blphc1roj0ets1.scr','');
 QuarantineFile('C:\WINDOWS\system32\lphc1roj0ets1.exe','');
 DeleteService('Winag17');
 QuarantineFile('C:\WINDOWS\system32\Drivers\Winag17.sys','');
 QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll','');
 QuarantineFile('c:\windows\system32\drivers\421.exe','');
 DeleteFile('c:\windows\system32\drivers\421.exe');
 DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
 DeleteFile('C:\WINDOWS\system32\Drivers\Winag17.sys');
 DeleteFile('C:\WINDOWS\system32\lphc1roj0ets1.exe');
 DeleteFile('C:\WINDOWS\system32\blphc1roj0ets1.scr');
 DeleteFile('WinCtrl32.dll');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteRepair(5);
ExecuteRepair(6);
ExecuteRepair(8);
BC_Activate;
RebootWindows(true);
end.

пришлите карантин согласно приложения 3 правил ...
повторите логи ...

[Cyborg5022]

Первое действие уже в прошлый раз выполнил и повторно этот файл не нашел.

Логи прикрепляю, карантин высылаю.

[Aleksandra]

Ничего зловредного в логах нет.

Пофиксите в HijackThis:

O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 2
• Обработано файлов: 7
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\\documents and settings\\администратор\\local settings\\temp\\loader.exe - Trojan-Downloader.Win32.Agent.adci (DrWEB: Trojan.DownLoad.2077)
  2. c:\\windows\\system32\\lphc1roj0ets1.exe - Backdoor.Win32.Frauder.bu (DrWEB: Trojan.Packed.619)
  3. c:\\windows\\system32\\oembios.exe - Trojan-Spy.Win32.Zbot.ehi (DrWEB: Trojan.Proxy.2509)
  4. c:\\windows\\system32\\winctrl32.dll - Trojan-Downloader.Win32.Mutant.aza (DrWEB: Trojan.Packed.573)