Троян мешает работать

[Sibirian]

Доброго дня любимому сайту и его глубокоуважаемым специалистам!

Накопились последствия/действия троянов - ничего критичного, но в сумме - уже принципиально. СП3 готов к установке, но, может, лучше пролечить сначала?

Логи согласно Правил.

[Aleksandra]

1. Отключите восстановление системы и антивирус.
2. Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile(GetAVZDirectory+'log\virusinfo_cure.zip');
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
 QuarantineFile('C:\Documents and Settings\qwe\Application Data\ltzqai.exe','');
 QuarantineFile('C:\RECYCLER\S-1-5-21-9707447266-7285348675-346387114-3659\syscr.exe','');
 QuarantineFile('c:\windows\system32\msvmiode.exe','');
 TerminateProcessByName('c:\windows\system32\msvmiode.exe');
 QuarantineFile('c:\windows\cndrive32.exe','');
 TerminateProcessByName('c:\windows\cndrive32.exe');
 DeleteFile('c:\windows\cndrive32.exe');
 DeleteFile('c:\windows\system32\msvmiode.exe');
 DeleteFile('C:\RECYCLER\S-1-5-21-9707447266-7285348675-346387114-3659\syscr.exe');
 DeleteFile('C:\RECYCLER\S-1-5-21-9707447266-7285348675-346387114-3659\syscr.exe,explorer.exe,C:\Documents and Settings\qwe\Application Data\ltzqai.exe,Explorer.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','MSODESNV7');
 DeleteFile('C:\Documents and Settings\qwe\Application Data\ltzqai.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteRepair(11);
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится!

3. Выполните скрипт в AVZ:

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Загрузите файл quarantine.zip, используя ссылку http://virusinfo.info/upload_virus.php?tid=84253

4. Повторите логи.

[Sibirian]

Результат загрузки

Файл сохранён как100731_094925_quarantine_4c53b965f39cb.zipРазме р файла160386MD5717e63dcdd4022fe0452dd4173444aca

[Aleksandra]

Где повторные логи?

[Sibirian]

Доброго Вам дня, Александра - очень приятно, что Вы с нами, а не на пляже (хотя я понимаю, что есть несколько мнений ).

Логи выполнял. Выкладываю.

[Aleksandra]

1. Отключите восстановление системы и антивирус.
2. Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
Sleep(180);
 DeleteFile('C:\RECYCLER\S-1-5-21-9707447266-7285348675-346387114-3659\syscr.exe');
 DeleteFile('C:\Documents and Settings\qwe\Application Data\ltzqai.exe');
 BC_DeleteFile('C:\RECYCLER\S-1-5-21-9707447266-7285348675-346387114-3659\syscr.exe');
 BC_DeleteFile('C:\Documents and Settings\qwe\Application Data\ltzqai.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится!

3. Повторите лог virusinfo_syscure.

[Sibirian]

Хм... Так сам и не перегрузился - только вручную... Лог выкладываю.

[Aleksandra]

Ничего плохого в логах не увидела.

[Sibirian]

Спасибо большое, как обычно - профессионально и оперативно.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 2
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\windows\cndrive32.exe - Trojan.Win32.Buzus.ewoo ( DrWEB: Win32.HLLW.Lime.8, BitDefender: Trojan.Generic.KD.23236, AVAST4: Win32:Malware-gen )