помогите удалить троян

[s-s-a9]

помогите удалить троян
Журнал проверки
Версия базы данных сигнатур вирусов: 4100 (20090525)
Дaтa: 07.06.2009 Время: 14:46:21
Просканированные диски, папки и файлы: Оперативная память
Оперативная память - Win32/Rootkit.Agent.ODG троянская программа - очистка невозможна
\\?\globalroot\systemroot\system32\gxvxcwkmnqtrqpk lypawktldnidqumevtqjik.dll - модифицированный Win32/Kryptik.PF троянская программа - очищен удалением (после следующего перезапуска) - изолирован [1,2]
Количество просканированных объектов: 385
Количество обнаруженных угроз: 2
Количество очищенных объектов:1
Время выполнения: 14:46:35 Общее время проверки: 14 сек. (00:00:14)

[Rene-gad]

Читаем правила, присылаем ВСЕ указанные логи.
Читаем правила обращения с карантином:

Результат загрузки
Файл сохранён как 090607_151937_virusinfo_cure_4a2ba24973738.zip
Размер файла 166766
MD5 63a7e13e784bb146723f6e64368b183d
Файл закачан, спасибо!

[s-s-a9]

так

[light59]

virusinfo_syscure.zip

[s-s-a9]

ну вроде все

[thyrex]

Пофиксить в HiJack

Код:

 O17 - HKLM\System\CCS\Services\Tcpip\..\{38BA9537-1A4D-47D2-95D8-5078145B4057}: NameServer = 85.255.112.232,85.255.112.234
O17 - HKLM\System\CCS\Services\Tcpip\..\{6194347D-2551-4006-9258-479AFD4E71A7}: NameServer = 85.255.112.232,85.255.112.234
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.112.232,85.255.112.234
O17 - HKLM\System\CS1\Services\Tcpip\..\{38BA9537-1A4D-47D2-95D8-5078145B4057}: NameServer = 85.255.112.232,85.255.112.234
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.112.232,85.255.112.234
O17 - HKLM\System\CS2\Services\Tcpip\..\{38BA9537-1A4D-47D2-95D8-5078145B4057}: NameServer = 85.255.112.232,85.255.112.234
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.112.232,85.255.112.234

Выполните скрипт в AVZ

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\autorun.inf','');
 QuarantineFile('C:\WINDOWS\system32\drivers\gxvxcxdpqjyouevkftqrepoyojeljbvhclhbo.sys','');
 QuarantineFile('C:\WINDOWS\system32\gxvxcwkmnqtrqpklypawktldnidqumevtqjik.dll','');
 DeleteFile('C:\WINDOWS\system32\gxvxcwkmnqtrqpklypawktldnidqumevtqjik.dll');
 DeleteFile('C:\WINDOWS\system32\drivers\gxvxcxdpqjyouevkftqrepoyojeljbvhclhbo.sys');
 DeleteFile('C:\autorun.inf');
 DeleteFile('D:\autorun.inf');
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

Сделайте новые логи

Сделать и такой лог http://virusinfo.info/showthread.php?t=40118

[s-s-a9]

вот

[thyrex]

Сохраните текст ниже как cleanup.bat в ту же папку, где находится gmer.exe

Код:

gmer.exe -del service gxvxcserv.sys
gmer.exe -del file "C:\WINDOWS\system32\drivers\gxvxcxdpqjyouevkftqrepoyojeljbvhclhbo.sys"
gmer.exe -del file "C:\WINDOWS\system32\gxvxcwkmnqtrqpklypawktldnidqumevtqjik.dll"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\gxvxcserv.sys"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet001\Services\gxvxcserv.sys"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\gxvxcserv.sys"
gmer -reboot

И запустите cleanup.bat

Сделать новый лог gmer

[s-s-a9]

+1

[thyrex]

Это после нажатия на Scan? При сканированиии в gmer окно с сообщеніем о рутките больше не появляется?

[s-s-a9]

нет не_появляется

[thyrex]

В логе ничего плохого

Установите IE8

[s-s-a9]

а что это

[thyrex]

Если Вы про IE8, то это Internet Explorer v8.00

[s-s-a9]

а это обязательно или это просто на моё усмотрение ,я обычно мозилой пользуюсь

[thyrex]

Поскольку IE интегрирован в систему, лучше установить для закрытия брешей

[s-s-a9]

хорошо спасибо за помощь вы лучшие

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 3
• Обработано файлов: 7
• В ходе лечения вредоносные программы в карантинах не обнаружены