Помогите плохо разбирающемуся в вирусах!

[mmaeka]

Я вам уже писала сегодня про свою проблему, но не прислала логи. Кратко :Три дня назад антивирус (NOD32) написал, что обнаружил вирус : модифицированный WIN32/Rootkit.Agent.NSY троян. В течение этих трех дней он без конца отправляет в карантин какие-то файлы. Я нашла у вас информацию про то, как удалить вирус WIN32/Rootkit.Agent.TDSS
, но я так понимаю, что NSY это что-то другое? Подскажите, пожалуйста, что делать и насколько страшно, что уже достаточно много файлов ушло в карантин? Спасибо. Вот логи:

[DefesT]

Пофиксите в Hijackthis:

Код:

R3 - URLSearchHook: (no name) - {95289393-33EA-4F8D-B952-483415B9C955} - (no file)
R3 - URLSearchHook: (no name) -  - (no file)
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,

Отключите компьютер от интернета, а также антивирус и/или файрвол.
Закройте все программы, выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\Documents and Settings\Администратор\Local Settings\Temporary Internet Files\Content.IE5\IVKLSTE7\load[1].exe','');
 QuarantineFile('C:\Documents and Settings\Администратор\Local Settings\Temp\e.exe','');
 QuarantineFile('C:\WINDOWS\system32\sfcfiles.dll','');
 DelBHO('{95289393-33EA-4F8D-B952-483415B9C955}');
 QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
DeleteFile('C:\WINDOWS\system32\sdra64.exe');
DeleteFile('C:\Documents and Settings\Администратор\Local Settings\Temporary Internet Files\Content.IE5\IVKLSTE7\load[1].exe');
DeleteFile('C:\Documents and Settings\Администратор\Local Settings\Temp\e.exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(16);
SetAVZPMStatus(True);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится! Пришлите карантин по ссылке согласно правил Прислать запрошенный карантин вверху темы. Сделайте новые логи по правилам (virusinfo_syscure.zip, virusinfo_syscheck.zip и hijackthis.log)

[mmaeka]

Я уже писала, что лох в этом во всем...(( Поэтому уточните, плз, как выполнить скрипты в AVZ, так же ставить галочки как написано в правилах или просто в меню ФАЙЛ нажать ВЫПОЛНИТЬ СКРИПТЫ, или нажать ПУСК? И зачем мне этот код?

[pig]

Как выполнить скрипт в AVZ

[mmaeka]

Ну вот. Сделала. Карантин тоже выслала.

[thyrex]

Выполните скрипт в AVZ

Код:

begin
RenameFile('%windir%\system32\sfcfiles.dll', '%windir%\system32\sfcfiles.bak');
CopyFile('%windir%\system32\dllcache\sfcfiles.dll', '%windir%\system32\sfcfiles.dll');
DeleteFile('%windir%\system32\sfcfiles.bak');
RebootWindows(true);
end.

Компьютер перезагрузится.

Что с проблемой на данный момент?

[mmaeka]

Спасибо. Скрипт выполнила. Только как понять нормально все или нет? Пока антивирус не пишет ничего плохого... Нужно запустить антивирус и сканировать опять?

[thyrex]

Нужно запустить антивирус и сканировать опять?

Да, так и сделайте

[mmaeka]

Все равно антивирус пишет, что нашел 16 вирусов...((

Добавлено через 4 часа 42 минуты

Так чего же мне теперь делать?

[thyrex]

Покажите скриншот статистики обнаруженных угроз

[mmaeka]

Это то есть скопировать весь текст, который он выдает во время сканирования?

[thyrex]

Где-то же NOD сохраняет свои отчеты. Там и ищите

[mmaeka]

Я так поняла, что то, что нужно это лог сканирования. Вот он

[thyrex]

А Вы лечение выбираете при обнаружении?

[mmaeka]

Когда он находит вирус, то предлагает действия: пропустить, переименовать или удалить. Что из этого нужно выбрать?

[thyrex]

Эти

C:\Documents and Settings\Администратор\Local Settings\Temp\5EBC.Vtmp - модифицированный Win32/Kryptik.CQN троян
C:\Documents and Settings\Администратор\Local Settings\Temp\B45.Vtmp - Win32/Oficla.DZ троян
C:\Documents and Settings\Администратор\Local Settings\Temporary Internet Files\Content.IE5\6L4ZG5E5\z002102801r0019Rff8210c 3Xb446e553Yffc3ff99Z03007f3530dP000201080[1] - модифицированный Win32/Kryptik.CQN троян
C:\Documents and Settings\Администратор\Local Settings\Temporary Internet Files\Content.IE5\6L4ZG5E5\z002102801r0019Rff8210c 3Xb446e553Yffc3ff99Z03007f3530dP000201082[1] - Win32/Oficla.DZ троян
C:\RECYCLER\S-1-5-21-842925246-562591055-839522115-500\Dc144.exe - модифицированный Win32/Adware.TMAagent.AA приложение
C:\RECYCLER\S-1-5-21-842925246-562591055-839522115-500\Dc151.exe - модифицированный Win32/Adware.TMAagent.AA приложение
C:\RECYCLER\S-1-5-21-842925246-562591055-839522115-500\Dc153.exe - модифицированный Win32/Adware.TMAagent.AA приложение
C:\RECYCLER\S-1-5-21-842925246-562591055-839522115-500\Dc171.exe - модифицированный Win32/Adware.TMAagent.AA приложение
C:\RECYCLER\S-1-5-21-842925246-562591055-839522115-500\Dc180.part - модифицированный Win32/Adware.TMAagent.AA приложение
C:\RECYCLER\S-1-5-21-842925246-562591055-839522115-500\Dc42.exe - модифицированный Win32/Adware.TMAagent.AA приложение
C:\RECYCLER\S-1-5-21-842925246-562591055-839522115-500\Dc72.exe - модифицированный Win32/Adware.TMAagent.AA приложение
C:\RECYCLER\S-1-5-21-842925246-562591055-839522115-500\Dc74.exe - модифицированный Win32/Adware.TMAagent.AA приложение
C:\RECYCLER\S-1-5-21-842925246-562591055-839522115-500\Dc75.exe - модифицированный Win32/Adware.TMAagent.AA приложение
C:\WINDOWS\system32\eqqo.Vyso - Win32/Oficla.DZ троян

точно удалять

[mmaeka]

Теперь остался один файл с вирусом. Вы не писали, что его можно удалить. Лог приложила. Удалять инфицированный файл?

[thyrex]

C:\WINDOWS\system32\oobe\MSOOBE.EXE запакуйте с паролем virus и пришлите по красной ссылке Прислать запрошенный карантин вверху темы

[mmaeka]

Файл с паролем выслала

[thyrex]

Файл чистый. Система у Вас явно не лицензия?