золандер+блокировка win с смс

[Nel Arod]

Попросили посмотреть компьютер, так тут гадости похоже куча. Виндовс был заблокирован с просьбой отослать смс, безопасный режим не работал, скачал свежий лайф сд доктора вэба, блокировка снялась. При включение открываются два экземпляра моих документов. Также говорят что был золандер. После проверил Нодом 4 со свежими базами. Логи выкладываю. Компьютер является прокси- и видео- сервером

[Nel Arod]

сп3 + заплатки пока не решился ставить на зараженную систему

[DefesT]

Восстановление системы: включено

Отключите восстановление системыОтключите компьютер от интернета, а также антивирус и/или файрвол.
Закройте все программы, выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\crypt.dll','');
 QuarantineFile('C:\SIN\S-2-3-12-ABCDEF7890-01234567890-1688963592-500\Maq.exe','');
 QuarantineFile('C:\JAN\J-1-2-34-000000AAAA-11111111111-5555555555-111\Max.exe','');
 QuarantineFile('C:\JAMA\CRAFT\pop.exe','');
 QuarantineFile('C:\DOCUME~1\XaserVI\LOCALS~1\Temp\osama.pif','');
 QuarantineFile('C:\WINDOWS\mfo.exe','');
 QuarantineFile('C:\WINDOWS\system32\drivers\jmrgim.sys','');
 QuarantineFile('C:\Documents and Settings\XaserVI\Application Data\fqja.exe','');
 DeleteService('abp470n5');
 DelCLSID('67KLN5J0-4OPM-00WE-AAX5-77EF1D187563');
 DelCLSID('67KLN5J0-4OPM-00WE-AAX5-77EF1D187463');
 DelCLSID('13POP6M8-1MAD-24AD-JIM1-73OP5G2223335');
 DeleteFile('C:\Documents and Settings\XaserVI\Application Data\fqja.exe');
 DeleteFile('C:\WINDOWS\system32\drivers\jmrgim.sys');
 DeleteFile('C:\WINDOWS\mfo.exe');
 DeleteFile('C:\DOCUME~1\XaserVI\LOCALS~1\Temp\osama.pif');
 DeleteFile('C:\JAMA\CRAFT\pop.exe');
 DeleteFile('C:\JAN\J-1-2-34-000000AAAA-11111111111-5555555555-111\Max.exe');
 DeleteFile('C:\SIN\S-2-3-12-ABCDEF7890-01234567890-1688963592-500\Maq.exe');
 DeleteFile('C:\WINDOWS\system32\crypt.dll');
 DeleteFile('C:\Windows\Tasks\system.job');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','mfo.exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(6);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится!!!
Пришлите карантин по ссылке согласно правил Прислать запрошенный карантин вверху темы. Пролечитесь от файловых вирусов - http://virusinfo.info/showthread.php?t=15927
После этого сделайте новые логи по правилам

[Nel Arod]

карантин выслал, новын логи чуть попозже скину

[Nel Arod]

Извиняюсь "чуть попозже скину " сильно затянулось) проверил нодом и live cd. Выкладываю новые логи

[DefesT]

Отключите компьютер от интернета, а также антивирус и/или файрвол.
Закройте все программы, выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteFile('C:\WINDOWS\TEMP\ijl402.tmp');
 DeleteFile('C:\WINDOWS\TEMP\ijl403.tmp');
 DeleteFile('C:\WINDOWS\TEMP\ijl404.tmp');
 DeleteFile('C:\WINDOWS\TEMP\ijl405.tmp');
 DeleteFile('C:\WINDOWS\TEMP\ijl406.tmp');
 DeleteFile('C:\WINDOWS\TEMP\ijl407.tmp');
 DeleteFile('C:\WINDOWS\TEMP\ijl408.tmp');
 DeleteFile('C:\WINDOWS\TEMP\ijl409.tmp');
 DeleteFile('C:\DOCUME~1\XaserVI\LOCALS~1\Temp\catchme.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится!!!
Очистите темп папки. Сделайте новый лог virusinfo_syscheck.zip

[Nel Arod]

Очистить папку темп не удается

[DefesT]

Больше ничего плохого.

Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0013)

Рекомендуется установить Service Pack 3 с последними обновлениями (может потребоваться активация!), также обновите Internet Explorer до 8 версии.

[Nel Arod]

Спасибо большое=) Но у меня есть вопросик - что за файлы в темпе лежат, которые нельзя удалить? Названия у них - ijl2.tmp, ijl11.tmp, ijl10.tmp, ijlB.tmp, Perflib_Perfdata_704.dat

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 16
• В ходе лечения вредоносные программы в карантинах не обнаружены