Помогите с NewHeur_PE

[Se11eR]

Здравствуйте. Сейчас на нахожусь на даче, захожу в интернет через телефон используя его как модем. Вчера Нод выдал:
98.126.44.98/block.exe вероятно неизвестный NewHeur_PE вирус соединение прервано - изолирован
Почти сразу после этого Нод выдал еще:
C:\DOCUME~1\Se11eR\LOCALS~1\Temp\493474.exe вероятно неизвестный NewHeur_PE вирус очищен удалением - изолирован
C:\Documents and Settings\Se11eR\Local Settings\Temporary Internet Files\Content.IE5\STYJ81EN\block[1].exe вероятно неизвестный NewHeur_PE вирус очищен удалением - изолирован
Теперь после каждого подключение к интернету мне выскакивает все тоже самое только циферки exe файлаов разные. Еще к этому добавилось
Адрес заблокирован 203.53.153.4\mbf.exe
Адрес заблокирован 203.53.153.4\irc.exe
В процессах начали появляться эти экзешники с циферками, и ntvdm.exe который грузит процессор на 100 процентов.
При включении компа:
Предотварщение выполнения данных
Generic Host Process for Win32 Services
Мой Нод после проверки нечего не нашел, как и CureIt (правда 160-ти дневной давности)
Ну и последнее, сегодня еще выскочило:
C:\WINDOWS\system32\msvmiode.exe Win32/SpamTool.Tedroo.AN троянская программа очищен удалением - изолирован
Прощу помощи))

[olejah]

Ссылки деактивируйте на зловреда! Срочно!

Добавлено через 4 минуты

Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
- Системное восстановление

Пофиксите в hijackthis -

Код:

O4 - HKLM\..\Run: [MSODESNV7] C:\WINDOWS\system32\msvmiode.exe

Выполните скрипт в АВЗ -

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 QuarantineFile('C:\RECYCLER\S-1-5-21-5005342889-5139089247-747979875-5698\syscr.exe','');
 QuarantineFile('C:\WINDOWS\system32\msvmiode.exe','');  
 QuarantineFile('C:\WINDOWS\System32\Drivers\aq9276qe.SYS','');
 QuarantineFile('C:\Documents and Settings\Администратор\Application Data\ltzqai.exe','');
 DeleteFile('C:\Documents and Settings\Администратор\Application Data\ltzqai.exe');
 DeleteFile('C:\WINDOWS\system32\msvmiode.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','MSODESNV7');
 DeleteFile('C:\RECYCLER\S-1-5-21-5005342889-5139089247-747979875-5698\syscr.exe');  
 BC_ImportAll;
 ExecuteSysClean;
 ExecuteWizard('TSW',2,2,true);
 ExecuteRepair(11);
 BC_Activate;
 RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- выполните такой скрипт

Код:

begin
  CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
 end.

Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.

- Повторите логи

[Se11eR]

Все сделал.

[olejah]

Выполните скрипт в АВЗ в безопасном режиме -

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 DeleteFile('C:\RECYCLER\S-1-5-21-5005342889-5139089247-747979875-5698\syscr.exe');
 DeleteFile('C:\Documents and Settings\Администратор\Application Data\ltzqai.exe');       
 BC_ImportAll;
 ExecuteSysClean;
 BC_Activate;
 RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

- Повторите лог virusinfo_syscure.zip

[Se11eR]

Вот

[olejah]

Выполните скрипт в АВЗ в безопасном режиме -

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 DeleteFile('C:\Documents and Settings\Администратор\Application Data\ltzqai.exe');       
 BC_ImportAll;
 ExecuteSysClean;
 ExecuteRepair(11);
 BC_DeleteFile('C:\Documents and Settings\Администратор\Application Data\ltzqai.exe');
 BC_Activate;
 RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

- Повторите лог virusinfo_syscure.zip + сделайте лог МВАМ

[Se11eR]

все сделал

[olejah]

В логах чисто, что с проблемой?

[Se11eR]

Все в порядке вроде как. Спасибо большое)

[polword]

Обновите систему
- SP2 обновите до Service Pack 3(может потребоваться активация)
* Перед установкой Сервис Пака необходимо выгрузить антивирус, файрвол, а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)
* Microsoft остановил поддержку и выпуск обновлений безопасности для ОС Windows XP без установленного SP3
- Установите Internet-Explorer 8.(даже если Вы его не используете)
- Поставте все последние обновления системы Windows - тут
- Обновите Java .

[Se11eR]

С вашего позволения продолжу в этой теме так как те же проблемы возобновились.
Раньше я об этом не писал, но бывает такое: интернет пропадает, хотя как я понимаю телефон сигнал не теряет. Это сопровождается зависанием подключения, я не могу открыть состояние - как только пробую оно открывается на мгновение и закрывается опять, отключится нельзя. Это сопровождается глюками панели задач, она на секунду иногда принимает вид стандартной темы оформления виндовз. Также пропадает моя аудиокарта - в звуках и аудио устройствах пишет что аудиоустройства отсутствуют. Спасает положение только перезагрузка.

[polword]

- Выполните скрипт в AVZ

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 QuarantineFile('C:\Documents and Settings\Se11eR\Application Data\ltzqai.exe','');
 QuarantineFile('C:\RECYCLER\S-1-5-21-3100199427-1253595080-271618350-5335\syscr.exe','');
 QuarantineFile('c:\windows\system32\msvmiode.exe','');
 TerminateProcessByName('c:\windows\system32\msvmiode.exe');
 DeleteFile('c:\windows\system32\msvmiode.exe');
 DeleteFile('C:\RECYCLER\S-1-5-21-3100199427-1253595080-271618350-5335\syscr.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','MSODESNV7');
 DeleteFile('C:\Documents and Settings\Se11eR\Application Data\ltzqai.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman ');
 BC_ImportAll;
 ExecuteSysClean;
 ExecuteRepair(11);
 ExecuteWizard('TSW', 2, 2, true);
 ExecuteWizard('SCU', 2, 2, true);
 RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun',221);
 BC_Activate;
 RebootWindows(true);
end.

После перезагрузки:
- выполните такой скрипт

Код:

begin
  CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
 end.

- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)
- Сделайте лог MBAM

Добавлено через 1 минуту

Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

как только вылечитесь- жизненно необходимо для Вашего ПК сделать вот это

[Se11eR]

Все сделал. Лог MBAM сейчас сделаю. Сейчас я нахожусь на даче, как уже писал, и захожу в интернет через телефон на скорости 10-20 КБ в сек. Вы писали что жизненно важно обновиться до SP3 и тд, но сейчас я этого сделать не могу) мне от интернета в принципе нужен только чат скайпа, могу даже не запускать браузер. Не посоветуете как продержаться еще неделю не обновляясь?

[polword]

Не посоветуете как продержаться еще неделю не обновляясь?

сложно... Тут можно посмотреть

лог MBAM ждем-с

[Se11eR]

Лог MBAM сейчас будет (просто будет сканировать полтора часа) Рекомендации после лечения или 10 заповедей для здоровья компьютера я уже читал и с удовольствием выполню как только приеду.
Я просто не могу понять как эта зараза попадает ко мне на комп. Я не чего сейчас не делаю- не чего не скачиваю, не куда не захожу, а вирус все равно меня находит) Если есть какие-то предположения или предложения - я откажусь от всего кроме скайпа)

[Se11eR]

Вот лог... может все таки что-то подскажете?

[polword]

1. удалите в MBAM

Код:

C:\RECYCLER\S-1-5-21-3100199427-1253595080-271618350-5335\syscr.exe (Worm.Autorun.B) -> Not selected for removal.

2.Выполните скрипт в AVZ

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
 DeleteFile('C:\RECYCLER\S-1-5-21-3100199427-1253595080-271618350-5335\syscr.exe');
 DeleteFileMask('C:\RECYCLER\S-1-5-21-3100199427-1253595080-271618350-5335', '*.*', true);
 DeleteDirectory('C:\RECYCLER\S-1-5-21-3100199427-1253595080-271618350-5335');
 BC_ImportAll;
 ExecuteSysClean;
 BC_Activate;
 RebootWindows(true);
end.

После перезагрузки:
- Сделайте лог MBAM

[Se11eR]

Вот лог. Интернет стал очень часто пропадать вот так как я описывал, это как-то связано с вирусом?

[polword]

в логе чисто

[Se11eR]

Спасибо за помощь) Но интернет продолжает пропадать как я описывал - ведь это тоже проблема, почему вы игнорируете?