Troyan-Gen3, 5, 7 , Troyan Pws Gamania, Autoruner, Troyan Downloader

**snegir** · 25.10.2009, 22:02

Здравствуйте.
Недавно на компьютере появились вышеперечисленая гадость. При подключении к интернет Доктор Вэб 5.0, говорит что найдены эти вирусы. Я включал полную проверку системы с помощью сканера Др.Вэб, но вирусы не удаляются. Установил Spyware Terminator 2.6.0 , проверил им компьютер, Spyware Terminator нашел эти трояны но удалить тоже не смог(пишет что даных файлов не существует).
В последнее время сидя в интернете минут 5-10 пропадает доступ в мировой трафик, а в состоянии соединения интернета информация передается и скачивается, хотя я ни чего не делаю (автомотические обновления у меня отключены).
Подскажите, пожалуйста, что делать.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Aleksandra** · 25.10.2009, 22:10

1. Отключите восстановление системы и антивирус.
2. Выполните скрипт в AVZ:

Код:

begin
ClearQuarantine;
SetAVZGuardStatus(True);
 ExecuteAVUpdate;
 DelCLSID('28ABC5C0-4FCB-11CF-AAX5-81CX1C635612');
 QuarantineFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\dll32.exe','');
 QuarantineFile('C:\WINDOWS\system32\wmprunsrv.dll','');
 QuarantineFile('C:\WINDOWS\system32\skcfujQ5EDN.dll','');
 QuarantineFile('C:\WINDOWS\system32\dhDhwS7fFW.dll','');
 QuarantineFile('C:\WINDOWS\system32\RcmftwC.dll','');
 QuarantineFile('C:\WINDOWS\system32\PERrGx5DkqSbQdwauCRQH.dll','');
 QuarantineFile('C:\WINDOWS\system32\704C3595.dll','');
 QuarantineFile('C:\WINDOWS\system32\122B901E.dll','');
 QuarantineFile('C:\WINDOWS\system32\08223B03.dll','');
 QuarantineFile('C:\WINDOWS\fonts\A97CRaCB.fon','');
 DeleteService('yexul');
 DeleteService('ybvwdsu');
 DeleteService('xrowczmk');
 DeleteService('vgrtm');
 DeleteService('ttxznb');
 DeleteService('qcjizb');
 DeleteService('otbckpox');
 DeleteService('mqsuh');
 DeleteService('lharug');
 DeleteService('ivwmwmde');
 DeleteService('hoseadh');
 DeleteService('exhffolpv');
 DeleteService('evozy');
 DeleteService('adkvlgube');
 QuarantineFile('C:\WINDOWS\system32\01.tmp','');
 DeleteService('windswe');
 QuarantineFile('C:\WINDOWS\system32\windswe.exe','');
 DeleteService('rising beijing');
 QuarantineFile('C:\WINDOWS\system32\qzklvl.exe','');
 DeleteService('re');
 QuarantineFile('C:\WINDOWS\system32\I977307EB3\J001.exe','');
 DeleteService('Network Location');
 QuarantineFile('C:\WINDOWS\syss360.exe','');
 DeleteService('n hj');
 QuarantineFile('C:\WINDOWS\nhg.exe','');
 DeleteService('hjkjxx');
 QuarantineFile('C:\WINDOWS\gjjx.exe','');
 DeleteService('FireFox2');
 QuarantineFile('C:\WINDOWS\system32\firefox2.exe','');
 DeleteService('ferst');
 QuarantineFile('C:\WINDOWS\system32\BO2T499K73\F001.exe','');
 DeleteService('BitSrv');
 QuarantineFile('C:\WINDOWS\System32\BtSrv.exe','');
 DeleteService('BackGround Switch');
 QuarantineFile('C:\WINDOWS\system32\regedit32.exe','');
 DeleteFile('C:\WINDOWS\system32\regedit32.exe');
 DeleteFile('C:\WINDOWS\System32\BtSrv.exe');
 DeleteFile('C:\WINDOWS\system32\BO2T499K73\F001.exe');
 DeleteFile('C:\WINDOWS\system32\firefox2.exe');
 DeleteFile('C:\WINDOWS\gjjx.exe');
 DeleteFile('C:\WINDOWS\nhg.exe');
 DeleteFile('C:\WINDOWS\syss360.exe');
 DeleteFile('C:\WINDOWS\system32\I977307EB3\J001.exe');
 DeleteFile('C:\WINDOWS\system32\qzklvl.exe');
 DeleteFile('C:\WINDOWS\system32\windswe.exe');
 DeleteFile('C:\WINDOWS\system32\01.tmp');
 DeleteFile('C:\WINDOWS\fonts\A97CRaCB.fon');
 DeleteFile('C:\WINDOWS\system32\08223B03.dll');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks','{8708994F-1758-4C2C-9A3F-FA22D6CCCB41}');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks','{08223B03-1B38-4A33-A83A-A4D3CC1D6E4E}');
 DeleteFile('C:\WINDOWS\system32\122B901E.dll');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks','{122B901E-493F-4AD9-BC69-7DE8C3E52FCC}');
 DeleteFile('C:\WINDOWS\system32\704C3595.dll');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks','{704C3595-DB85-40F6-A601-8D6F346907BD}');
 DeleteFile('C:\WINDOWS\system32\PERrGx5DkqSbQdwauCRQH.dll');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks','{51716C09-6B08-4CCF-B526-718E912C0573}');
 DeleteFile('C:\WINDOWS\system32\RcmftwC.dll');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\BITS\Parameters','ServiceDll');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\WebClients\Parameters','ServiceDll');
 DeleteFile('C:\WINDOWS\system32\dhDhwS7fFW.dll');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks','{36AC68E6-0C26-4D39-B98E-54B49DAB6BAA}');
 DeleteFile('C:\WINDOWS\system32\skcfujQ5EDN.dll');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks','{76CBCF38-0583-44C7-A1AE-D463DFE625EC}');
 DeleteFile('C:\WINDOWS\system32\wmprunsrv.dll');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\WmpNetwk\Parameters','ServiceDll');
 DeleteFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\dll32.exe');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteRepair(9);
BC_Activate;
CreateQurantineArchive('C:\quarantine.zip');
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится!
Загрузите файл C:\quarantine.zip, используя ссылку http://virusinfo.info/upload_virus.php?tid=58280

3. Повторите логи.

**snegir** · 25.10.2009, 23:03

Скрипт выполнил.
Загрузить файл C:\quarantine.zip, используя ссылку http://virusinfo.info/upload_virus.php?tid=58280 не удается, пишет следующие :
Результат загрузки
Ошибка загрузки. Данный файл уже был загружен