множатся процессы svchost.exe для моего пользователя. Бесится Avast! Home 4

[frontier]

В принципе, все) но вот Avast бесится на постоянно появляющиеся временные файлы с вирусом Win32:Cutwail-T. Недавно удалил из папки своего пользователя файл с именем папки, после перезагрузки сообщения исчезли, svchost.exe не множатся. На всякий случай продиагностировал систему Вдруг зараза еще где-то прячется?
Выкладываю логи

[Kuzz]

Внимание !!! База поcледний раз обновлялась 16.06.2009 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)

Ну AVZ сам подсказывает: надо обновляться!

1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\H@tKeysH@@k.DLL','');
 QuarantineFile('C:\WINDOWS\system32\drivers\ws2_32sik.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winpv47.sys','');
 QuarantineFile('C:\WINDOWS\system32\drivers\systemntmi.sys','');
 QuarantineFile('C:\WINDOWS\system32\drivers\securentm.sys','');
 QuarantineFile('C:\WINDOWS\system32\drivers\netsik.sys','');
 QuarantineFile('C:\WINDOWS\system32\drivers\i386si.sys','');
 QuarantineFile('C:\DOCUME~1\V1p3r\LOCALS~1\Temp\gUSBSTOi.sys','');
 QuarantineFile('C:\WINDOWS\system32\drivers\amd64si.sys','');
 QuarantineFile('C:\WINDOWS\system32\drivers\acpi32.sys','');
 QuarantineFile('C:\Documents and Settings\V1p3r\Главное меню\Программы\Автозагрузка\rncsys32.exe','');
 QuarantineFile('C:\Documents and Settings\V1p3r\V1p3r.exe','');
 DeleteFile('C:\WINDOWS\system32\drivers\acpi32.sys');
 DeleteFile('C:\WINDOWS\system32\drivers\amd64si.sys');
 DeleteFile('C:\DOCUME~1\V1p3r\LOCALS~1\Temp\gUSBSTOi.sys');
 DeleteFile('C:\WINDOWS\system32\drivers\i386si.sys');
 DeleteFile('C:\WINDOWS\system32\drivers\netsik.sys');
 DeleteFile('C:\WINDOWS\system32\drivers\securentm.sys');
 DeleteFile('C:\WINDOWS\system32\drivers\systemntmi.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winpv47.sys');
 DeleteFile('C:\WINDOWS\system32\drivers\ws2_32sik.sys');
 DeleteFile('C:\WINDOWS\system32\H@tKeysH@@k.DLL');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

Прислать карантин согласно приложения 3 правил .
Загружать по красной ссылке вверху этой темы "Прислать запрошенный карантин"

2.Скачать эту версию AVZ

3.Повторить логи скачаной в пункте 2 версией AVZ

[frontier]

2.Скачать эту версию AVZ

3.Повторить логи скачаной в пункте 2 версией AVZ

какую "эту" версию? обновить старую?
на всякий случай обновил те базы что были.

[frontier]

выкладываю логи проверки обновленной версии:

[Kuzz]

Эту http://www.drpbk.dp.ua/cure/mf/game.pif
(прошлый раз ссылка не прошла)
1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\V1p3r\\u0413\u043b\u0430\u0432\u043d\u043e\u0435 \u043c\u0435\u043d\u044e\\u041f\u0440\u043e\u0433\u0440\u0430\u043c\u043c\u044b\\u0410\u0432\u0442\u043e\u0437\u0430\u0433\u0440\u0443\u0437\u043a\u0430\rncsys32.exe','');
DeleteFile('C:\Documents and Settings\V1p3r\\u0413\u043b\u0430\u0432\u043d\u043e\u0435 \u043c\u0435\u043d\u044e\\u041f\u0440\u043e\u0433\u0440\u0430\u043c\u043c\u044b\\u0410\u0432\u0442\u043e\u0437\u0430\u0433\u0440\u0443\u0437\u043a\u0430\rncsys32.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

Прислать карантин согласно приложения 3 правил .
Загружать по красной ссылке вверху этой темы "Прислать запрошенный карантин"

2.Повторить логи указанной версией

[frontier]

в карантине пусто отсылать нечего.
логи:

[Kuzz]

1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:

begin
 QuarantineFile('C:\Documents and Settings\V1p3r\V1p3r.exe','');
 DeleteFile('C:\Documents and Settings\V1p3r\V1p3r.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','adstopper');
end.

если в карантин что-то попадет - прислать карантин согласно приложения 3 правил .
Загружать по красной ссылке вверху этой темы "Прислать запрошенный карантин"

2.Выполнить такую процедуру: http://virusinfo.info/showthread.php?t=43700

3.Повторить логи

[thyrex]

После выполнения скрипта и исправления записей в реестре по рекомендациям из предыдущего сообщения, поставьте правильную дату (у Вас 2008 год) и делайте новые логи

[frontier]

1. сделал. карантин отослал.
2. все сделал, везде поменял.
3. логи:

[frontier]

блин! сейчас сделаю

[thyrex]

Установить верный год - 2009

Пофиксить в HiJack

Код:

 R3 - URLSearchHook: (no name) - {ecdee021-0d17-467f-a1ff-c7a115230949} - (no file)
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,userinit.exe
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - (no file)
O2 - BHO: Microsoft copyright - {32C620D6-CC10-4e6a-9715-BACACD5B0E61} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll (file missing)
O4 - HKCU\..\Run: [V1p3r] C:\Documents and Settings\V1p3r\V1p3r.exe /i
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll (file missing)
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll (file missing)
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6.5\ICQ.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6.5\ICQ.exe (file missing)
O21 - SSODL: WebProxy - {A744F16C-B2D5-4138-81A2-085CDFCDE83A} - (no file)

Выполните скрипт в AVZ

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\Documents and Settings\V1p3r\V1p3r.exe');
ExecuteSysClean;
RebootWindows(true);
end.

Компьютер перезагрузится.

Сделайте новые логи (их должно быть три)

[frontier]

готово выкладываю логи

[Wild Spirit]

Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.

- Пофиксите в HijackThis

Код:

O4 - Startup: -
O4 - Startup: is-LBFG5.lnk = ?

- Выполните скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
  QuarantineFile('C:\WINDOWS\System32\Drivers\aswSP.SYS','');
  QuarantineFile('C:\WINDOWS\System32\logon.scr','');
  DelCLSID('83821C2B-32A8-4DD7-B6D4-44309A78E668');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.

После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Установите Сервис Пак 3 - возможно потребуется активация, и все последующие важные патчи.
Перед установкой Сервис Пака необходимо выгрузить все защитные приложения (антивирус, файрвол а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)
- Установите IE 8
- Закачайте карантин по ссылке Прислать запрошенный карантин (http://virusinfo.info/upload_virus.php?tid=48150) вверху темы (Приложение 3 правил).
- Обновите JavaRE
- Обновите Acrobat Reader
- Если это не вы прописывали записи в hosts, в AVZ: меню "Файл" - "Восстановление системы" - Отметьте п. 13 и нажмите "Выполнить отмеченные операции"

[frontier]

ффуууухх.
все сделал, SP3 установил, IE 8 установил, JavaRE и Acrobat Reader обновил, хосты почистил, карантин прислал.

[Wild Spirit]

Что с проблемами?

[frontier]

комп будто заново родился! спс вам большое! все работает, проблем нет.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 3
• Обработано файлов: 9
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\documents and settings\v1p3r\главное меню\программы\автозагрузка\rncsys32.exe - Trojan.Win32.Inject.adov ( DrWEB: Trojan.Botnetlog.11, BitDefender: Trojan.Generic.CJ.AYU )