Не удаляются трояны Panda, Siggen, AutoFake и пр.

[Sapratigs]

Здравствуйте, помогите удалить трояны!
CureIt в Safe mode находил Panda, Siggen, AutoFake, Autorun, спамбота и пр. Всплывало окно "отправь смс", тормозил svhost, не запускались программы, слетало на синий экран с сообщением о повреждении памяти и проч. NOD при включении флешки находил Autorun-червя, но как обычно и после удаления он тут "отрастал" снова.
Заранее спасибо!

[Aleksandra]

1. Отключите восстановление системы и антивирус.
2. Выполните скрипт в AVZ:

Код:

begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 TerminateProcessByName('c:\windows\system32\riodrv.exe');
 QuarantineFile('c:\windows\system32\riodrv.exe','');
 QuarantineFile('C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\OPQ3G567\pin[2].exe','');
 QuarantineFile('C:\Program Files\Microsoft Common\svchost.exe','');
 DeleteFile('c:\windows\system32\riodrv.exe');
 DeleteFile('C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\OPQ3G567\pin[2].exe');
 DeleteFile('C:\Program Files\Microsoft Common\svchost.exe');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteRepair(9);
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится!
Пришлите карантин согласно приложению 3 правил.
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=46362

3. Повторите логи.

Добавлено через 2 минуты

O17 - HKLM\System\CCS\Services\Tcpip\..\{A3E7A63D-5763-45BB-807C-9FC7A284A92E}: NameServer = 80.71.244.244 80.71.245.245

Эти адреса Вам известны? Если нет, то пофиксите.

[Sapratigs]

Aleksandra спасибо!
1. Отключил (уже были отключены).
2. Выполнил, карантин залил.
3. Логи загрузил, адреса не знаю, пофиксил - появилось снова (может это от интернета? - у меня WAN PPPoE)

[Aleksandra]

1. Отключите восстановление системы и антивирус.
2. Выполните скрипт в AVZ:

Код:

begin
 DelBHO('{8DAE90AD-4583-4977-9DD4-4360F7A45C74}');
 DelBHO('{6D7B211A-88EA-490c-BAB9-3600D8D7C503}');
 DelBHO('{6C517674-DE1C-4493-977C-34A1BFAB35BA}');
 DeleteFile('riodrv.exe');
 ExecuteSysClean;
 RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится!

3. Повторите лог virusinfo_syscheck.

Добавлено через 43 секунды

3. Логи загрузил, адреса не знаю, пофиксил - появилось снова (может это от интернета? - у меня WAN PPPoE)

Адреса Ваши. Не трогайте их!

[Sapratigs]

1. Отключены.
2. Выполнил.
3. Повторил.

А флешку, где autorun сидел, чем лучше полечить?

Еще раз спасибо!

[Aleksandra]

Ничего зловредного в логах нет.

Добавлено через 36 секунд

Выполните эту инструкцию http://virusinfo.info/showthread.php?t=3519 и загрузите полученный карантин через форму http://virusinfo.info/index.php?page=uploadclean После его загрузки продублируйте имя и MD5 файла, который выдаст форма приема карантинов.

Добавлено через 2 минуты

А флешку, где autorun сидел, чем лучше полечить?

Логи нужно было сделать со вставленной флэшкой, если знали о ее заражении.

[Sapratigs]

Цитата:
Сообщение от Sapratigs
А флешку, где autorun сидел, чем лучше полечить?

Логи нужно было сделать со вставленной флэшкой, если знали о ее заражении.

Флешка была вставлена, на всякий случай решил уточнить, спасибо!

[Aleksandra]

Ответ http://virusinfo.info/showpost.php?p...postcount=1186

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 3
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\program files\microsoft common\svchost.exe - Trojan.Win32.Inject.aaxf ( BitDefender: Gen:Trojan.Heur.Hype.20708F8F8F )
  2. c:\windows\system32\config\systemprofile\local settings\temporary internet files\content.ie5\opq3g567\pin[2].exe - Trojan.Win32.Buzus.baxu ( DrWEB: Trojan.PWS.LDPinch.4308 )
  3. c:\windows\system32\riodrv.exe - Trojan-PSW.Win32.Agent.mza ( BitDefender: Rootkit.19807 )

Рекомендации:

1. Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли !