Ошибка при загрузке ujvh.dro и какой-то вирус...

**Ronda1** · 13.01.2010, 00:31

Здравствуйте! Вот что у меня есть:
при каждом включении компьютера появляется сообщение:
Ошибка при загрузке ujvh.dro. Не найден указанный модуль.
Я не знаю, что это, вроде ничего не стало хуже работать, но ведь как-то это надо убрать, да? Проверяла на вирусы, случилось вот что: DR. Web в начале сканирования нашел вирус(не знаю, важно ли, но назвал его Trojan.WinSpy.440). Когда я нажала "лечить", комп мигнул синим экраном и перезапустился... При повторной попытке все повторяется..
Очень надеюсь на Вашу помощь. Нужные файлики прикрепляю. Спасибо!

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Шапельский Александр** · 13.01.2010, 00:45

Пофиксить в Hijack следующие строки:

Код:

F2 - REG:system.ini: Shell=Explorer.exe rundll32.exe ujvh.dro qulbhx
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,

Выполнить скрипт

Код:

begin
DeleteFileMask(GetAVZDirectory+'Quarantine','*.*',true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
 QuarantineFile('C:\WINDOWS\system32\ujvh.dro','');
 DeleteFile('C:\WINDOWS\system32\ujvh.dro');
 DeleteFile('C:\WINDOWS\system32\sdra64.exe');
BC_ImportAll;
ExecuteSysClean;
Executerepair(6);
Executerepair(8);
ExecuteWizard('TSW', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.

затем следующий

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

файл quarantine.zip закачайте по ссылке Прислать запрошенный карантин
в шапке Вашей темы.
овторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению.

**Ronda1** · 13.01.2010, 01:28

Сделала все, как сказали. Сообщение об ошибке модуля больше не появляется. А вот тот самый вирус DR Web все равно находит, я нажимаю лечить и перезагружается компьютер... Может, это важно, после перезагрузке появляется такое сообщение:

Система восстановлена после серьезной ошибки.
Создана запись в журнале для данной ошибки.
Передайте Microsoft сведения об ошибке.
Создан отчет об ошибке, который может быть отправлен для исправления Microsoft Windows. Этот отчет будет конфиденциальным анонимным.
Для просмотра данных, содержащихся в отчете, щелкните здесь.

Ну и вот новые логи:

**Шапельский Александр** · 13.01.2010, 11:21

Вы могли бы написать где DR Web находит вирус, в каком файле?
Сделайте лог Gmer.

**Ronda1** · 13.01.2010, 12:29

вот адрес вируса:
c/Windows/system32/mssfc.dll

и лог прикрепила.

**Шапельский Александр** · 13.01.2010, 15:05

Выполните скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('c/Windows/system32/mssfc.dll','');
  DeleteFile('c/Windows/system32/mssfc.dll');
 BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

закачайте карантин по ссылке Прислать запрошенный карантин в шапке Вашей темы (Приложение 3 правил).
Сделайте лог MBAM.

**Ronda1** · 13.01.2010, 16:40

сделала. + лог:

**Шапельский Александр** · 13.01.2010, 16:54

Удалите в MBAM

Код:

Заражено ключей реестра:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken.
HKEY_CLASSES_ROOT\idid (Trojan.Sasfix) -> No action taken.

Заражено значений реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\uid (Malware.Trace) -> No action taken.
Заражено папок:
C:\WINDOWS\system32\lowsec (Stolen.data) -> No action taken.

Заражено файлов:
C:\Documents and Settings\All Users\Документы\Программы\Winamp 5.1 Full Rus\Keygen\Keygen.exe (Trojan.Agent) -> No action taken.
C:\Documents and Settings\Estilitz\Local Settings\Temp\1065.tmp (Trojan.Agent) -> No action taken.
C:\Documents and Settings\Estilitz\Local Settings\Temp\106A.tmp (Trojan.Dropper) -> No action taken.
C:\Documents and Settings\Estilitz\Local Settings\Temp\bcComesMore.exe (Malware.Packer) -> No action taken.
C:\Documents and Settings\Estilitz\Local Settings\Temporary Internet Files\Content.IE5\SPQFS96N\load[2].exe (Malware.Packer) -> No action taken.
C:\Documents and Settings\Estilitz\Рабочий стол\Лечим\avz4\Quarantine\2010-01-13\bcqr00001.dta (Malware.Packer) -> No action taken.
C:\Documents and Settings\Estilitz\Рабочий стол\Лечим\avz4\Quarantine\2010-01-13\bcqr00002.dta (Malware.Packer) -> No action taken.
C:\WINDOWS\system32\lowsec\local.ds (Stolen.data) -> No action taken.
C:\WINDOWS\system32\lowsec\user.ds (Stolen.data) -> No action taken.

Сделайте новый лог MBAM

**Ronda1** · 13.01.2010, 18:57

вот:

**Шапельский Александр** · 13.01.2010, 19:29

Чисто. Что с проблемой?
Рекомендую обновить:
- Windows 5.1.2600 Service Pack 2 до Windows 5.1.2600 Service Pack 3, возможно потребуется активация;
- Internet Explorer 6.0 до Internet Explorer 8.0;
- установить последние обновления на ОС.
Если этого не сделать, могут появиться новые проблемы!