Помогите с вирусами. ошибка win32

**vokidoki** · 13.08.2010, 22:48

Доброе время суток!
Постоянно возникают вирусы которые находит NOD удаляет, потом они снова возникают и потом выводится ошибка win32.
Просканировал Касперским находит вирусы такие как Trojan.Win32:Buzus.fbur, Agent.evhm, Buzus.ezqi, Generic, Agent.eukq, Buzus.fboe, Agent.euhd
P2P-Worm.Win32.Palevo.asuz, SpyBot.pqx
Worm.Win32.Pedal.l, AutoRun.hgc
Net-Worm.Win32.Kido.ih
Помогите.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**thyrex** · 13.08.2010, 23:37

Выполните скрипт в AVZ

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\42.exe','');
 QuarantineFile('C:\WINDOWS\system32\32.exe','');
 QuarantineFile('C:\WINDOWS\system32\28.exe','');
 QuarantineFile('C:\WINDOWS\system32\24.exe','');
 QuarantineFile('C:\WINDOWS\system32\16.exe','');
 QuarantineFile('C:\WINDOWS\system32\15.exe','');
 QuarantineFile('C:\WINDOWS\system32\11.exe','');
 QuarantineFile('C:\WINDOWS\system32\04.exe','');
 QuarantineFile('C:\WINDOWS\system32\02.exe','');
 QuarantineFile('C:\WINDOWS\system32\00.exe','');
 QuarantineFile('C:\WINDOWS\system32\86.exe','');
 QuarantineFile('C:\WINDOWS\system32\55.exe','');
 QuarantineFile('C:\WINDOWS\system32\77.exe','');
 QuarantineFile('C:\WINDOWS\system32\67.exe','');
 QuarantineFile('C:\WINDOWS\system32\26.exe','');
 QuarantineFile('C:\WINDOWS\system32\06.scr','');
 QuarantineFile('C:\WINDOWS\system32\74.scr','');
 QuarantineFile('C:\WINDOWS\system32\64.exe','');
 QuarantineFile('C:\WINDOWS\system32\12.scr','');
 QuarantineFile('C:\WINDOWS\system32\67.scr','');
 QuarantineFile('C:\WINDOWS\system32\57.exe','');
 QuarantineFile('C:\WINDOWS\system32\41.exe','');
 QuarantineFile('C:\WINDOWS\system32\14.exe','');
 QuarantineFile('C:\WINDOWS\system32\12.exe','');
 QuarantineFile('C:\WINDOWS\system32\78.exe','');
 QuarantineFile('C:\WINDOWS\system32\53.exe','');
 QuarantineFile('C:\WINDOWS\system32\23.exe','');
 QuarantineFile('C:\WINDOWS\system32\system.exe','');
 QuarantineFile('C:\Documents and Settings\DAstashevich\Application Data\ltzqai.exe,C:\RECYCLER\S-1-5-21-0340169181-1155139293-923477065-0159\syscr.exe,explorer.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0340169181-1155139293-923477065-0159\syscr.exe','');
 QuarantineFile('C:\Documents and Settings\DAstashevich\Application Data\ltzqai.exe','');
 TerminateProcessByName('c:\windows\system32\syscache.exe');
 QuarantineFile('c:\windows\system32\syscache.exe','');
 TerminateProcessByName('c:\windows\system32\msvmiode.exe');
 QuarantineFile('c:\windows\system32\msvmiode.exe','');
 TerminateProcessByName('c:\docume~1\dastas~1\locals~1\temp\57643.exe');
 QuarantineFile('c:\docume~1\dastas~1\locals~1\temp\57643.exe','');
 TerminateProcessByName('c:\docume~1\dastas~1\locals~1\temp\152843.exe');
 QuarantineFile('c:\docume~1\dastas~1\locals~1\temp\152843.exe','');
 DeleteFile('c:\docume~1\dastas~1\locals~1\temp\152843.exe');
 DeleteFile('c:\docume~1\dastas~1\locals~1\temp\57643.exe');
 DeleteFile('c:\windows\system32\msvmiode.exe');
 DeleteFile('c:\windows\system32\syscache.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Advanced DHTML Enable');
 DeleteFile('C:\Documents and Settings\DAstashevich\Application Data\ltzqai.exe');
 DeleteFile('C:\Documents and Settings\DAstashevich\Application Data\ltzqai.exe,C:\RECYCLER\S-1-5-21-0340169181-1155139293-923477065-0159\syscr.exe,explorer.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-0340169181-1155139293-923477065-0159\syscr.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','MSODESNV7');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','00636');
 DeleteFile('C:\WINDOWS\system32\system.exe');
 DeleteFile('C:\WINDOWS\system32\23.exe');
 DeleteFile('C:\WINDOWS\system32\53.exe');
 DeleteFile('C:\WINDOWS\system32\78.exe');
 DeleteFile('C:\WINDOWS\system32\12.exe');
 DeleteFile('C:\WINDOWS\system32\14.exe');
 DeleteFile('C:\WINDOWS\system32\41.exe');
 DeleteFile('C:\WINDOWS\system32\57.exe');
 DeleteFile('C:\WINDOWS\system32\67.scr');
 DeleteFile('C:\WINDOWS\system32\12.scr');
 DeleteFile('C:\WINDOWS\system32\64.exe');
 DeleteFile('C:\WINDOWS\system32\74.scr');
 DeleteFile('C:\WINDOWS\system32\06.scr');
 DeleteFile('C:\WINDOWS\system32\26.exe');
 DeleteFile('C:\WINDOWS\system32\67.exe');
 DeleteFile('C:\WINDOWS\system32\77.exe');
 DeleteFile('C:\WINDOWS\system32\55.exe');
 DeleteFile('C:\WINDOWS\system32\86.exe');
 DeleteFile('C:\WINDOWS\system32\00.exe');
 DeleteFile('C:\WINDOWS\system32\02.exe');
 DeleteFile('C:\WINDOWS\system32\04.exe');
 DeleteFile('C:\WINDOWS\system32\11.exe');
 DeleteFile('C:\WINDOWS\system32\15.exe');
 DeleteFile('C:\WINDOWS\system32\16.exe');
 DeleteFile('C:\WINDOWS\system32\24.exe');
 DeleteFile('C:\WINDOWS\system32\28.exe');
 DeleteFile('C:\WINDOWS\system32\32.exe');
 DeleteFile('C:\WINDOWS\system32\42.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

Сделайте новые логи + лог gmer + лог МВАМ

**vokidoki** · 15.08.2010, 17:00

Закачал файл с карантином, новые логи.

**thyrex** · 15.08.2010, 17:12

Удалите в МВАМ

Код:

Зараженные файлы:
C:\RECYCLER\S-1-5-21-0340169181-1155139293-923477065-0159\syscr.exe (Worm.Autorun.B) -> No action taken.
C:\Documents and Settings\DAstashevich\Application Data\ltzqai.exe (Worm.Palevo) -> No action taken.
C:\Documents and Settings\Administrator\Application Data\ltzqai.exe (Worm.Palevo) -> No action taken.
C:\WINDOWS\system32\hosts (Trojan.Agent) -> No action taken.
C:\WINDOWS\hosts (Trojan.Agent) -> No action taken.
C:\WINDOWS\logfile32.txt (Malware.Trace) -> No action taken.

Не забудьте предоставить лог после удаления

Сохраните текст ниже как cleanup.bat в ту же папку, где находится 3jhw8kyb.exe (gmer)

Код:

3jhw8kyb.exe -del service bastgwr
3jhw8kyb.exe -del service cclqktibf
3jhw8kyb.exe -del service dhgfquwwg
3jhw8kyb.exe -del service dmndor
3jhw8kyb.exe -del service duflvun
3jhw8kyb.exe -del service etdjfcukn
3jhw8kyb.exe -del service ggqjdfuga
3jhw8kyb.exe -del service gvuuqy
3jhw8kyb.exe -del service hcfcg
3jhw8kyb.exe -del service hopjl
3jhw8kyb.exe -del service huppxmnde
3jhw8kyb.exe -del service hwkvrcz
3jhw8kyb.exe -del service iafqqa
3jhw8kyb.exe -del service ichtvhn
3jhw8kyb.exe -del service imepx
3jhw8kyb.exe -del service jkbczpk
3jhw8kyb.exe -del service kktufal
3jhw8kyb.exe -del service lohbkdi
3jhw8kyb.exe -del service nocpufn
3jhw8kyb.exe -del service nqrwijyf
3jhw8kyb.exe -del service ocgbpueu
3jhw8kyb.exe -del service omjajh
3jhw8kyb.exe -del service ooiqq
3jhw8kyb.exe -del service oyxnfvfmi
3jhw8kyb.exe -del service ozsopo
3jhw8kyb.exe -del service pzlgv
3jhw8kyb.exe -del service qbaovabi
3jhw8kyb.exe -del service qfxnlwjt
3jhw8kyb.exe -del service rerlilws
3jhw8kyb.exe -del service szgqc
3jhw8kyb.exe -del service thjljj
3jhw8kyb.exe -del service tjidi
3jhw8kyb.exe -del service tzgpdhyxn
3jhw8kyb.exe -del service uatyi
3jhw8kyb.exe -del service uifgdm
3jhw8kyb.exe -del service umnnx
3jhw8kyb.exe -del service vjqeywgwf
3jhw8kyb.exe -del service vmnckclf
3jhw8kyb.exe -del service wyciyw
3jhw8kyb.exe -del service xdpfnq
3jhw8kyb.exe -del service xehtu
3jhw8kyb.exe -del service xesdwg
3jhw8kyb.exe -del service xpmeubg
3jhw8kyb.exe -del service xwnwmwfwh
3jhw8kyb.exe -del service yixvyeys
3jhw8kyb.exe -del service yjams
3jhw8kyb.exe -del service ysegmuhr
3jhw8kyb.exe -del service zjjinelm
3jhw8kyb.exe -del service zzuwwzjdt
3jhw8kyb.exe -del file "C:\WINDOWS\system32\dnjhwu.dll"
3jhw8kyb.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\bastgwr"
3jhw8kyb.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\cclqktibf"
3jhw8kyb.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\dhgfquwwg"
3jhw8kyb.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\dmndor"
3jhw8kyb.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\duflvun"
3jhw8kyb.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\etdjfcukn"
3jhw8kyb.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\ggqjdfuga"
3jhw8kyb.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\gvuuqy"
3jhw8kyb.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\hcfcg"
3jhw8kyb.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\hopjl"
3jhw8kyb.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\huppxmnde"
3jhw8kyb.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\hwkvrcz"
3jhw8kyb.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\iafqqa"
3jhw8kyb.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\ichtvhn"
3jhw8kyb.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\imepx"
3jhw8kyb.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\jkbczpk"
3jhw8kyb.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\kktufal"
3jhw8kyb.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\lohbkdi"
3jhw8kyb.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\nocpufn"
3jhw8kyb.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\nqrwijyf"
3jhw8kyb.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\ocgbpueu"
3jhw8kyb.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\omjajh"
3jhw8kyb.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\ooiqq"
3jhw8kyb.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\oyxnfvfmi"
3jhw8kyb.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\ozsopo"
3jhw8kyb.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\pzlgv"
3jhw8kyb.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\qbaovabi"
3jhw8kyb.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\qfxnlwjt"
3jhw8kyb.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\rerlilws"
3jhw8kyb.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\szgqc"
3jhw8kyb.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\thjljj"
3jhw8kyb.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\tjidi"
3jhw8kyb.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\tzgpdhyxn"
3jhw8kyb.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\uatyi"
3jhw8kyb.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\uifgdm"
3jhw8kyb.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\umnnx"
3jhw8kyb.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\vjqeywgwf"
3jhw8kyb.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\vmnckclf"
3jhw8kyb.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\wyciyw"
3jhw8kyb.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\xdpfnq"
3jhw8kyb.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\xehtu"
3jhw8kyb.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\xesdwg"
3jhw8kyb.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\xpmeubg"
3jhw8kyb.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\xwnwmwfwh"
3jhw8kyb.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\yixvyeys"
3jhw8kyb.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\yjams"
3jhw8kyb.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\ysegmuhr"
3jhw8kyb.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\zjjinelm"
3jhw8kyb.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\zzuwwzjdt"
3jhw8kyb.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\bastgwr"
3jhw8kyb.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\cclqktibf"
3jhw8kyb.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\dhgfquwwg"
3jhw8kyb.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\dmndor"
3jhw8kyb.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\duflvun"
3jhw8kyb.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\etdjfcukn"
3jhw8kyb.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\ggqjdfuga"
3jhw8kyb.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\gvuuqy"
3jhw8kyb.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\hcfcg"
3jhw8kyb.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\hopjl"
3jhw8kyb.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\huppxmnde"
3jhw8kyb.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\hwkvrcz"
3jhw8kyb.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\iafqqa"
3jhw8kyb.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\ichtvhn"
3jhw8kyb.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\imepx"
3jhw8kyb.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\jkbczpk"
3jhw8kyb.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\kktufal"
3jhw8kyb.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\lohbkdi"
3jhw8kyb.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\nocpufn"
3jhw8kyb.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\nqrwijyf"
3jhw8kyb.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\ocgbpueu"
3jhw8kyb.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\omjajh"
3jhw8kyb.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\ooiqq"
3jhw8kyb.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\oyxnfvfmi"
3jhw8kyb.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\ozsopo"
3jhw8kyb.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\pzlgv"
3jhw8kyb.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\qbaovabi"
3jhw8kyb.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\qfxnlwjt"
3jhw8kyb.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\rerlilws"
3jhw8kyb.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\szgqc"
3jhw8kyb.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\thjljj"
3jhw8kyb.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\tjidi"
3jhw8kyb.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\tzgpdhyxn"
3jhw8kyb.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\uatyi"
3jhw8kyb.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\uifgdm"
3jhw8kyb.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\umnnx"
3jhw8kyb.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\vjqeywgwf"
3jhw8kyb.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\vmnckclf"
3jhw8kyb.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\wyciyw"
3jhw8kyb.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\xdpfnq"
3jhw8kyb.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\xehtu"
3jhw8kyb.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\xesdwg"
3jhw8kyb.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\xpmeubg"
3jhw8kyb.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\xwnwmwfwh"
3jhw8kyb.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\yixvyeys"
3jhw8kyb.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\yjams"
3jhw8kyb.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\ysegmuhr"
3jhw8kyb.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\zjjinelm"
3jhw8kyb.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\zzuwwzjdt"
3jhw8kyb.exe -reboot

И запустите cleanup.bat.
Компьютер перезагрузится!

Сделать новый лог gmer.

Выполните скрипт в AVZ

Код:

begin
ExecuteRepair(13);
RebootWindows(true);
end.

Компьютер перезагрузится.

Сделайте новые логи AVZ

**vokidoki** · 16.08.2010, 15:45

Стал выдавать ошибку internet explorer.

**vokidoki** · 16.08.2010, 16:56

Файл gmer.log не корректный? Попробую переделать

**polword** · 16.08.2010, 18:33

Обновите систему
- SP2 обновите до Service Pack 3(может потребоваться активация)
* Перед установкой Сервис Пака необходимо выгрузить антивирус, файрвол, а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)
* Microsoft остановил поддержку и выпуск обновлений безопасности для ОС Windows XP без установленного SP3
- Установите Internet-Explorer 8.(даже если Вы его не используете)
- Поставте все последние обновления системы Windows - тут
- поставте Adobe Reader 9.3 или удалите старый.

после обновления отпишитесь о проблемах

**vokidoki** · 18.08.2010, 17:53

При закрытии IE, WMP выводит ошибку с просьбой отправить отчет. NoD вирусы не находит.

**polword** · 18.08.2010, 19:13

- Откройте файл ScanVuln.txt. Выполните из этого файла скрипт в AVZ. В результате работы скрипта будет создан файл - avz_log.txt.
Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления(если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

**vokidoki** · 19.08.2010, 17:37

Скрипт выдал "Часто используемые уязвимости не обнаружены"
Потом сканировал NoD получил

Код HTML:

C:\Documents and Settings\DAstashevich\Local Settings\Temp\00636.exe - Win32/Qhost.PBJ троянская программа - очищен удалением - изолирован [1]
C:\Documents and Settings\DAstashevich\Local Settings\Temp\045979.exe - Win32/SpamTool.Tedroo.AN троянская программа - очищен удалением - изолирован [1]
C:\Documents and Settings\DAstashevich\Local Settings\Temp\066.exe - Win32/Inject.NDR троянская программа - очищен удалением - изолирован [1]
C:\Documents and Settings\DAstashevich\Local Settings\Temp\072.exe - Win32/Bflient.K червь - очищен удалением - изолирован [1]
C:\Documents and Settings\DAstashevich\Local Settings\Temp\106.exe - Win32/SpamTool.Tedroo.AN троянская программа - очищен удалением - изолирован [1]
C:\Documents and Settings\DAstashevich\Local Settings\Temp\149140.exe - Win32/SpamTool.Tedroo.AN троянская программа - очищен удалением - изолирован [1]
C:\Documents and Settings\DAstashevich\Local Settings\Temp\190.exe - Win32/SpamTool.Tedroo.AN троянская программа - очищен удалением - изолирован [1]
C:\Documents and Settings\DAstashevich\Local Settings\Temp\220.exe - Win32/Bflient.K червь - очищен удалением - изолирован [1]
C:\Documents and Settings\DAstashevich\Local Settings\Temp\2326.exe - Win32/SpamTool.Tedroo.AN троянская программа - очищен удалением - изолирован [1]
C:\Documents and Settings\DAstashevich\Local Settings\Temp\2369073.exe - Win32/TrojanProxy.Ranky троянская программа - очищен удалением - изолирован [1]
C:\Documents and Settings\DAstashevich\Local Settings\Temp\338498.exe - Win32/SpamTool.Tedroo.AN троянская программа - очищен удалением - изолирован [1]
C:\Documents and Settings\DAstashevich\Local Settings\Temp\3472272.exe - Win32/SpamTool.Tedroo.AN троянская программа - очищен удалением - изолирован [1]
C:\Documents and Settings\DAstashevich\Local Settings\Temp\3627727.exe - Win32/Qhost.PBJ троянская программа - очищен удалением - изолирован [1]
C:\Documents and Settings\DAstashevich\Local Settings\Temp\396.exe - Win32/Inject.NDR троянская программа - очищен удалением - изолирован [1]
C:\Documents and Settings\DAstashevich\Local Settings\Temp\399620.exe - Win32/SpamTool.Tedroo.AN троянская программа - очищен удалением - изолирован [1]
C:\Documents and Settings\DAstashevich\Local Settings\Temp\4075.exe - Win32/SpamTool.Tedroo.AN троянская программа - очищен удалением - изолирован [1]
C:\Documents and Settings\DAstashevich\Local Settings\Temp\415.exe - Win32/SpamTool.Tedroo.AN троянская программа - очищен удалением - изолирован [1]
C:\Documents and Settings\DAstashevich\Local Settings\Temp\4404.exe - Win32/TrojanProxy.Ranky троянская программа - очищен удалением - изолирован [1]
C:\Documents and Settings\DAstashevich\Local Settings\Temp\4636732.exe - Win32/SpamTool.Tedroo.AN троянская программа - очищен удалением - изолирован [1]
C:\Documents and Settings\DAstashevich\Local Settings\Temp\473744.exe - Win32/SpamTool.Tedroo.AN троянская программа - очищен удалением - изолирован [1]
C:\Documents and Settings\DAstashevich\Local Settings\Temp\4773754.exe - Win32/SpamTool.Tedroo.AN троянская программа - очищен удалением - изолирован [1]
C:\Documents and Settings\DAstashevich\Local Settings\Temp\542313.exe - Win32/Qhost.PBJ троянская программа - очищен удалением - изолирован [1]
C:\Documents and Settings\DAstashevich\Local Settings\Temp\61719.exe - Win32/SpamTool.Tedroo.AN троянская программа - очищен удалением - изолирован [1]
C:\Documents and Settings\DAstashevich\Local Settings\Temp\64198.exe - Win32/SpamTool.Tedroo.AN троянская программа - очищен удалением - изолирован [1]
C:\Documents and Settings\DAstashevich\Local Settings\Temp\686.exe - Win32/SpamTool.Tedroo.AN троянская программа - очищен удалением - изолирован [1]
C:\Documents and Settings\DAstashevich\Local Settings\Temp\6928659.exe - Win32/TrojanProxy.Ranky троянская программа - очищен удалением - изолирован [1]
C:\Documents and Settings\DAstashevich\Local Settings\Temp\714381.exe - Win32/SpamTool.Tedroo.AN троянская программа - очищен удалением - изолирован [1]
C:\Documents and Settings\DAstashevich\Local Settings\Temp\75363.exe - Win32/Qhost.PBJ троянская программа - очищен удалением - изолирован [1]
C:\Documents and Settings\DAstashevich\Local Settings\Temp\75965.exe - Win32/Qhost.PBJ троянская программа - очищен удалением - изолирован [1]
C:\Documents and Settings\DAstashevich\Local Settings\Temp\7986.exe - Win32/SpamTool.Tedroo.AN троянская программа - очищен удалением - изолирован [1]
C:\Documents and Settings\DAstashevich\Local Settings\Temp\850.exe - Win32/Bflient.K червь - очищен удалением - изолирован [1]
C:\Documents and Settings\DAstashevich\Local Settings\Temp\8827944.exe - Win32/SpamTool.Tedroo.AN троянская программа - очищен удалением - изолирован [1]
C:\Documents and Settings\DAstashevich\Local Settings\Temp\896.exe - Win32/Bflient.K червь - очищен удалением - изолирован [1]
C:\Documents and Settings\DAstashevich\Local Settings\Temp\914.exe - Win32/Inject.NDR троянская программа - очищен удалением - изолирован [1]
C:\Documents and Settings\DAstashevich\Local Settings\Temp\9422.exe - Win32/SpamTool.Tedroo.AN троянская программа - очищен удалением - изолирован [1]
C:\Documents and Settings\DAstashevich\Local Settings\Temp\953863.exe - Win32/SpamTool.Tedroo.AN троянская программа - очищен удалением - изолирован [1]
C:\Documents and Settings\DAstashevich\Local Settings\Temp\9785.exe - Win32/Qhost.PBJ троянская программа - очищен удалением - изолирован [1]
C:\Documents and Settings\DAstashevich\Local Settings\Temp\997.exe - Win32/Inject.NDR троянская программа - очищен удалением - изолирован [1]
C:\Documents and Settings\DAstashevich\Local Settings\Temp\999.exe - Win32/Bflient.K червь - очищен удалением - изолирован [1]
C:\Documents and Settings\DAstashevich\Local Settings\Temporary Internet Files\Content.IE5\89ABCDEF\acalc[2].exe - Win32/SpamTool.Tedroo.AN троянская программа - очищен удалением - изолирован [1]
C:\Documents and Settings\DAstashevich\Local Settings\Temporary Internet Files\Content.IE5\89ABCDEF\acalc[3].exe - Win32/SpamTool.Tedroo.AN троянская программа - очищен удалением - изолирован [1]
C:\Documents and Settings\DAstashevich\Local Settings\Temporary Internet Files\Content.IE5\89ABCDEF\always[1].exe - Win32/TrojanProxy.Ranky троянская программа - очищен удалением - изолирован [1]
C:\Documents and Settings\DAstashevich\Local Settings\Temporary Internet Files\Content.IE5\89ABCDEF\hbf[1].exe - Win32/Bflient.K червь - очищен удалением - изолирован [1]
C:\Documents and Settings\DAstashevich\Local Settings\Temporary Internet Files\Content.IE5\89ABCDEF\rbf[1].exe - Win32/Inject.NDR троянская программа - очищен удалением - изолирован [1]
C:\Documents and Settings\DAstashevich\Local Settings\Temporary Internet Files\Content.IE5\GHIJKLMN\acalc[1].exe - Win32/SpamTool.Tedroo.AN троянская программа - очищен удалением - изолирован [1]
C:\Documents and Settings\DAstashevich\Local Settings\Temporary Internet Files\Content.IE5\OPQRSTUV\acalc[1].exe - Win32/SpamTool.Tedroo.AN троянская программа - очищен удалением - изолирован [1]
C:\Documents and Settings\DAstashevich\Local Settings\Temporary Internet Files\Content.IE5\OPQRSTUV\hbf[1].exe - Win32/Bflient.K червь - очищен удалением - изолирован [1]
C:\Documents and Settings\DAstashevich\Local Settings\Temporary Internet Files\Content.IE5\OPQRSTUV\hbf[2].exe - Win32/Bflient.K червь - очищен удалением - изолирован [1]

C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\4923S5EV\a[1].exe - Win32/Peerfrag.FD червь - очищен удалением - изолирован [1]
C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\4923S5EV\h[7].exe - Win32/Peerfrag.FD червь - очищен удалением - изолирован [1]
C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\K9AJGLU7\a[1].exe - Win32/Peerfrag.FD червь - очищен удалением - изолирован [1]
C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\K9AJGLU7\h[1].exe - Win32/Peerfrag.FD червь - очищен удалением - изолирован [1]
C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\WHYBWDAN\a[1].exe - Win32/Peerfrag.FD червь - очищен удалением - изолирован [1]
C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\WHYBWDAN\h[7].exe - Win32/Peerfrag.FD червь - очищен удалением - изолирован [1]

C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\4923S5EV\a[1].exe - Win32/Peerfrag.FD червь - очищен удалением - изолирован [1]
C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\4923S5EV\h[7].exe - Win32/Peerfrag.FD червь - очищен удалением - изолирован [1]
C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\K9AJGLU7\a[1].exe - Win32/Peerfrag.FD червь - очищен удалением - изолирован [1]
C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\K9AJGLU7\h[1].exe - Win32/Peerfrag.FD червь - очищен удалением - изолирован [1]
C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\WHYBWDAN\a[1].exe - Win32/Peerfrag.FD червь - очищен удалением - изолирован [1]
C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\WHYBWDAN\h[7].exe - Win32/Peerfrag.FD червь - очищен удалением - изолирован [1]

**thyrex** · 19.08.2010, 21:16

Систему обновили?

**vokidoki** · 20.08.2010, 10:21

Обновил систему до SP3, поставил все обновления согласно скрипту ScanVuln.txt
Собрал новые логи

**polword** · 20.08.2010, 10:54

- Выполните скрипт в AVZ

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 QuarantineFile('C:\Documents and Settings\Administrator\Application Data\ltzqai.exe','');
 DeleteFile('C:\Documents and Settings\Administrator\Application Data\ltzqai.exe');
 ClearHostsFile;
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman ');
 BC_ImportAll;
 ExecuteSysClean;
 ExecuteRepair(11);
 ExecuteWizard('TSW', 2, 2, true);
 ExecuteWizard('SCU', 2, 2, true);
  BC_Activate;
 RebootWindows(true);
end.

После перезагрузки:
- выполните такой скрипт

Код:

begin
  CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
 end.

- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)
- Сделайте лог MBAM

**vokidoki** · 20.08.2010, 15:52

Сделано.

**thyrex** · 21.08.2010, 11:50

Выполните скрипт в AVZ

Код:

begin
ExecuteRepair(13);
RebootWindows(true);
end.

Компьютер перезагрузится.

Сделайте новый лог virusinfo_syscheck.zip

**vokidoki** · 25.08.2010, 16:50

Вирусов NOD не находит. Система работает. IE - выдает ошибку

**polword** · 25.08.2010, 18:14

- Выполните скрипт в AVZ

Код:

begin
 DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
 DeleteFile('%windir%\system32\Drivers\etc\hosts');
 ExecuteRepair(13);
 ExecuteWizard('TSW', 2, 2, true);
 ExecuteWizard('SCU', 2, 2, true);
 ExecuteRepair(13);
 RebootWindows(true);
end.

После перезагрузки:
- Сделайте повторный лог virusinfo_syscheck.zip

**vokidoki** · 27.08.2010, 12:28

IE ошибка

**polword** · 27.08.2010, 12:32

В логах подозрительного нет.

- Откройте файл ScanVuln.txt. Выполните из этого файла скрипт в AVZ. В результате работы скрипта будет создан файл - avz_log.txt.
Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления(если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

**CyberHelper** · 28.08.2010, 12:32

Статистика проведенного лечения:

Получено карантинов: 2
Обработано файлов: 105
В ходе лечения обнаружены вредоносные программы:
1. c:\\documents and settings\\dastashevich\\application data\\ltzqai.exe - Trojan.Win32.Agent2.loe ( DrWEB: Win32.HLLW.Autoruner.22584, BitDefender: Trojan.Dropper.Agent.VBH, NOD32: Win32/Bflient.K worm, AVAST4: Win32:Malware-gen )
2. c:\\docume~1\\dastas~1\\locals~1\\temp\\152843.exe - Trojan-Proxy.Win32.Agent.cve ( DrWEB: Trojan.Proxy.2751, BitDefender: Trojan.Dropper.TOV, NOD32: Win32/TrojanProxy.Ranky trojan, AVAST4: Win32:Flot-R [Wrm] )
3. c:\\docume~1\\dastas~1\\locals~1\\temp\\57643.exe - Trojan-Proxy.Win32.Agent.cve ( DrWEB: Trojan.Proxy.2751, BitDefender: Trojan.Dropper.TOV, NOD32: Win32/TrojanProxy.Ranky trojan, AVAST4: Win32:Flot-R [Wrm] )
4. c:\\recycler\\s-1-5-21-0340169181-1155139293-923477065-0159\\syscr.exe - P2P-Worm.Win32.Palevo.atjw ( DrWEB: Win32.HLLW.Autoruner.26149, BitDefender: Worm.Generic.275847, NOD32: Win32/Peerfrag.FD worm, AVAST4: Win32:Malware-gen )
5. c:\\windows\\system32\\msvmiode.exe - P2P-Worm.Win32.Palevo.atbh ( DrWEB: Trojan.Spambot.9106, BitDefender: Trojan.Spambot.Tedroo.C, NOD32: Win32/SpamTool.Tedroo.AN trojan, AVAST4: Win32:Malware-gen )
6. c:\\windows\\system32\\syscache.exe - Trojan.Win32.Scar.cpfz ( DrWEB: Trojan.Hosts.1192, BitDefender: Trojan.Generic.4721949, NOD32: Win32/Qhost.PBJ trojan, AVAST4: Win32:Flot-R [Wrm] )
7. c:\\windows\\system32\\00.exe - P2P-Worm.Win32.Palevo.atjw ( DrWEB: Win32.HLLW.Autoruner.26149, BitDefender: Worm.Generic.275847, NOD32: Win32/Peerfrag.FD worm, AVAST4: Win32:Malware-gen )
8. c:\\windows\\system32\\02.exe - P2P-Worm.Win32.Palevo.asuz ( DrWEB: Win32.HLLW.Lime.8, BitDefender: Trojan.Generic.5127886, AVAST4: Win32:Flot-Q [Wrm] )
9. c:\\windows\\system32\\04.exe - Trojan.Win32.Buzus.fdjc ( DrWEB: Win32.HLLW.Lime.8, BitDefender: Gen:Variant.Graftor.18195, AVAST4: Win32:Trojan-gen )
10. c:\\windows\\system32\\06.scr - Worm.Win32.Peda.l ( DrWEB: BackDoor.IRC.Bot.581, BitDefender: Worm.Generic.290214, NOD32: Win32/AutoRun.IRCBot.FC worm, AVAST4: Win32:Malware-gen )
11. c:\\windows\\system32\\11.exe - P2P-Worm.Win32.Palevo.asuz ( DrWEB: Win32.HLLW.Lime.8, BitDefender: Trojan.Generic.5127886, AVAST4: Win32:Flot-Q [Wrm] )
12. c:\\windows\\system32\\12.exe - P2P-Worm.Win32.Palevo.atbh ( DrWEB: Win32.HLLW.Autoruner.26149, BitDefender: Trojan.Spambot.Tedroo.C, NOD32: Win32/Peerfrag.FD worm, AVAST4: Win32:Malware-gen )
13. c:\\windows\\system32\\12.scr - Worm.Win32.Peda.l ( DrWEB: BackDoor.IRC.Bot.581, BitDefender: Worm.Generic.290214, NOD32: Win32/AutoRun.IRCBot.FC worm, AVAST4: Win32:Malware-gen )
14. c:\\windows\\system32\\14.exe - P2P-Worm.Win32.Palevo.atjw ( DrWEB: Win32.HLLW.Autoruner.26149, BitDefender: Worm.Generic.275847, NOD32: Win32/Peerfrag.FD worm, AVAST4: Win32:Malware-gen )
15. c:\\windows\\system32\\15.exe - Trojan.Win32.Agent.evhm ( DrWEB: Trojan.Packed.20849, BitDefender: Trojan.Generic.4918860, NOD32: Win32/Peerfrag.FD worm, AVAST4: Win32:Trojan-gen )
16. c:\\windows\\system32\\16.exe - Trojan-Dropper.Win32.Injector.ecyd ( DrWEB: Trojan.MulDrop1.41497, BitDefender: Trojan.Generic.4672224, AVAST4: Win32:AutoRun-BNA [Wrm] )
17. c:\\windows\\system32\\23.exe - P2P-Worm.Win32.Palevo.atbh ( DrWEB: Win32.HLLW.Autoruner.26149, BitDefender: Trojan.Spambot.Tedroo.C, NOD32: Win32/Peerfrag.FD worm, AVAST4: Win32:Malware-gen )
18. c:\\windows\\system32\\24.exe - P2P-Worm.Win32.Palevo.asuz ( DrWEB: Win32.HLLW.Lime.8, BitDefender: Trojan.Generic.5127886, AVAST4: Win32:Flot-Q [Wrm] )
19. c:\\windows\\system32\\26.exe - Trojan.Win32.Buzus.fboe ( DrWEB: BackDoor.Siggen.637, BitDefender: Trojan.Generic.4887819, NOD32: Win32/Peerfrag.FD worm, AVAST4: Win32:Flot-Q [Wrm] )
20. c:\\windows\\system32\\28.exe - P2P-Worm.Win32.Palevo.atbh ( DrWEB: Win32.HLLW.Autoruner.26149, BitDefender: Trojan.Spambot.Tedroo.C, NOD32: Win32/Peerfrag.FD worm, AVAST4: Win32:Malware-gen )
21. c:\\windows\\system32\\32.exe - P2P-Worm.Win32.Palevo.atbh ( DrWEB: Win32.HLLW.Autoruner.26149, BitDefender: Trojan.Spambot.Tedroo.C, NOD32: Win32/Peerfrag.FD worm, AVAST4: Win32:Malware-gen )
22. c:\\windows\\system32\\41.exe - P2P-Worm.Win32.Palevo.atbh ( DrWEB: Win32.HLLW.Autoruner.26149, BitDefender: Trojan.Spambot.Tedroo.C, NOD32: Win32/Peerfrag.FD worm, AVAST4: Win32:Malware-gen )
23. c:\\windows\\system32\\42.exe - P2P-Worm.Win32.Palevo.atbh ( DrWEB: Win32.HLLW.Autoruner.26149, BitDefender: Trojan.Spambot.Tedroo.C, NOD32: Win32/Peerfrag.FD worm, AVAST4: Win32:Malware-gen )
24. c:\\windows\\system32\\53.exe - P2P-Worm.Win32.Palevo.atbh ( DrWEB: Win32.HLLW.Autoruner.26149, BitDefender: Trojan.Spambot.Tedroo.C, NOD32: Win32/Peerfrag.FD worm, AVAST4: Win32:Malware-gen )
25. c:\\windows\\system32\\55.exe - P2P-Worm.Win32.Palevo.atbh ( DrWEB: Win32.HLLW.Autoruner.26149, BitDefender: Trojan.Spambot.Tedroo.C, NOD32: Win32/Peerfrag.FD worm, AVAST4: Win32:Malware-gen )
26. c:\\windows\\system32\\57.exe - P2P-Worm.Win32.Palevo.atbh ( DrWEB: Win32.HLLW.Autoruner.26149, BitDefender: Trojan.Spambot.Tedroo.C, NOD32: Win32/Peerfrag.FD worm, AVAST4: Win32:Malware-gen )
27. c:\\windows\\system32\\64.exe - P2P-Worm.Win32.Palevo.atjw ( DrWEB: Win32.HLLW.Autoruner.26149, BitDefender: Worm.Generic.275847, NOD32: Win32/Peerfrag.FD worm, AVAST4: Win32:Malware-gen )
28. c:\\windows\\system32\\67.exe - P2P-Worm.Win32.Palevo.atbh ( DrWEB: Win32.HLLW.Autoruner.26149, BitDefender: Trojan.Spambot.Tedroo.C, NOD32: Win32/Peerfrag.FD worm, AVAST4: Win32:Malware-gen )
29. c:\\windows\\system32\\67.scr - Worm.Win32.Peda.l ( DrWEB: BackDoor.IRC.Bot.581, BitDefender: Worm.Generic.290214, NOD32: Win32/AutoRun.IRCBot.FC worm, AVAST4: Win32:Malware-gen )
30. c:\\windows\\system32\\74.scr - Worm.Win32.Peda.l ( DrWEB: BackDoor.IRC.Bot.581, BitDefender: Worm.Generic.290214, NOD32: Win32/AutoRun.IRCBot.FC worm, AVAST4: Win32:Malware-gen )
31. c:\\windows\\system32\\77.exe - P2P-Worm.Win32.Palevo.atbh ( DrWEB: Win32.HLLW.Autoruner.26149, BitDefender: Trojan.Spambot.Tedroo.C, NOD32: Win32/Peerfrag.FD worm, AVAST4: Win32:Malware-gen )
32. c:\\windows\\system32\\78.exe - Trojan.Win32.Agent.evhm ( DrWEB: Trojan.Packed.20849, BitDefender: Trojan.Generic.4918860, NOD32: Win32/Peerfrag.FD worm, AVAST4: Win32:Trojan-gen )
33. c:\\windows\\system32\\86.exe - P2P-Worm.Win32.Palevo.atbh ( DrWEB: Win32.HLLW.Autoruner.26149, BitDefender: Trojan.Spambot.Tedroo.C, NOD32: Win32/Peerfrag.FD worm, AVAST4: Win32:Malware-gen )

Помогите с вирусами. ошибка win32 (заявка № 85348)

Опции темы

Помогите с вирусами. ошибка win32

Антивирусная помощь

Все сделал.

Антивирусная помощь

Сделано

файл gmer.log

Сделал все обновления.

Выполнил скрипт установил все обновления.

Антивирусная помощь

Антивирусная помощь

Итог лечения

Похожие темы

Помогите справиться с вирусами Worm.Win32.Agent.adx и Trojan.Win32.Chydo.axd (заявка №108954)

SOS! ПОмогите с вирусами msvmiode.exe,cfdrive32.exe,Trojan-PSW.Win32.LdPinch,Trojan.Inject. Trojan.AVKill.

После борьбы с вирусами - ошибка SESSION5_INITIALIZATION-FAILED

ПОМОГИТЕ! Generic Host Process for Win32 Services - обнаружена ошибка

Помогите с вирусами Win32: Confi [Wrm] и Win32: Trojan-gen {other}

Ваши права в разделе