Трояны

[Kadzuyama]

Обычно, когда включаю интернет нод находит троянов

[Aleksandra]

Протокол антивирусной утилиты AVZ версии 4.30

Скачайте новую версию AVZ 4.35, обновите базы и переделайте логи!

[Kadzuyama]

Вот, сделал

[Bratez]

Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\Documents and Settings\Администратор\Local Settings\Temporary Internet Files\Content.IE5\FU750U6P\install.48767[1].exe','');
 QuarantineFile('D:\autorun.inf','');
 QuarantineFile('C:\WINDOWS\system32\dllhosl.exe','');
 QuarantineFile('C:\Documents and Settings\Администратор\visfmu.exe','');
 QuarantineFile('C:\Documents and Settings\Администратор\fxmdk.exe','');
 QuarantineFile('C:\Documents and Settings\Администратор\Application Data\lsass.exe','');
 QuarantineFile('C:\Documents and Settings\Администратор\Application Data\Microsoft\kajab.exe','');
 QuarantineFile('C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\setup.bat','');
 QuarantineFile('C:\Documents and Settings\Администратор\Application Data\Microsoft\jyjouquy.exe','');
 QuarantineFile('C:\WINDOWS\system32\Drivers\zpbmxyry.sys','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0361332634-5995906281-783143246-4680\yv8g67.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-5227259616-5625615665-517357125-9019\yv8g67.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-6096330431-4473730594-091972443-6819\yv8g67.exe','');
DeleteFile('C:\RECYCLER\S-1-5-21-0361332634-5995906281-783143246-4680\yv8g67.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-5227259616-5625615665-517357125-9019\yv8g67.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-6096330431-4473730594-091972443-6819\yv8g67.exe');
 DeleteFile('C:\WINDOWS\system32\Drivers\zpbmxyry.sys');
 DeleteFile('C:\Documents and Settings\Администратор\Application Data\Microsoft\jyjouquy.exe');
 DeleteFile('C:\Documents and Settings\Администратор\Application Data\Microsoft\kajab.exe');
 DeleteFile('C:\Documents and Settings\Администратор\Application Data\lsass.exe');
 DeleteFile('C:\Documents and Settings\Администратор\fxmdk.exe');
 DeleteFile('C:\Documents and Settings\Администратор\visfmu.exe');
 DeleteFile('C:\WINDOWS\system32\dllhosl.exe');
 DeleteFile('D:\autorun.inf');
DeleteFileMask('C:\Documents and Settings\Администратор\Local Settings\Temp', '*.*',true);
DeleteFileMask('C:\Documents and Settings\Администратор\Local Settings\Temporary Internet Files\Content.IE5', '*.*',true);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RegKeyParamDel('HKLM', 'Software\Microsoft\Windows NT\CurrentVersion\Winlogon', 'Taskman');
RebootWindows(true);
end.

Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=96900).
Сделайте новые логи.

[Kadzuyama]

Вот новые логи

[Bratez]

1. Пофиксите в HijackThis:

Код:

R3 - Default URLSearchHook is missing
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
O4 - Global Startup: setup.bat

2. Вам понадобится любой загрузочный CD, позволяющий выполнять операции с файлами на жестком диске. С его помощью необходимо переместить или переименовать файл
C:\WINDOWS\system32\Drivers\zpbmxyry.sys

3. После этого запустите снова свою систему и выполните скрипт в AVZ:

Код:

begin
RegKeyResetSecurity( 'HKLM', 'SYSTEM\CurrentControlSet\Services\zpbmxyry');
BC_DeleteSvc('zpbmxyry');
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

4. Переименованный или перемещенный файл запакуйте в zip-архив с паролем virus и пришлите по ссылке для карантина.

5. Сделайте новые логи (только п.2 и 3 раздела Диагностика).

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 3
• В ходе лечения вредоносные программы в карантинах не обнаружены