Win32. Как от него избавиться? [LOG+]

[Zoe]

я не могу очистить компьютер от вирусов... антивирус находит вирусы, удаляет их, в журнале пишется так:

 

(Защита в режиме реального времени файл C:\WINDOWS\System32\ivyeaaso.exe модифицированный Win32/Injector.IW троянская программа очищен удалением - изолирован NT AUTHORITY\SYSTEM

 

Защита в режиме реального времени файл C:\System Volume Information\_restore{B1053981-DBC8-4580-B0A1-61DA94366034}\RP390\A0312812.exe вероятно модифицированный Win32/Agent троянская программа очищен удалением - изолирован NT AUTHORITY\SYSTEM Событие произошло при попытке доступа к файлу следующим приложением: C:\WINDOWS\System32\cidaemon.exe.)

 

но через некоторое время вирусы снова появляются, и примерно раз в 1,5 час компьютер перезагружается , выдав сообщение о вынужденном завершении работы, вызванным NT AUTHORITY\SYSTEM.

 

Помогите пожалуйста избавиться от него!

 

hijackthis.log

virusinfo_syscure.zip

virusinfo_syscheck.zip

[ТроПа]

1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

 

beginSearchRootkit(true, true);SetAVZGuardStatus(True);QuarantineFile('C:\WINDOWS\system32\DETER177\lsass.exe','');DeleteFile('C:\WINDOWS\system32\DETER177\lsass.exe');BC_ImportAll;ExecuteSysClean;BC_Activate;RebootWindows(true);end.

 

После выполнения скрипта компьютер перезагрузится.

 

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

 

beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end.

 

 

Прислать карантин (файл quarantine.zip из папки AVZ) на адрес newvirus@kaspersky.com В теле письма укажите пароль на архив virus. После того как получите ответ запостите нам.

 

В АВЗ включите AVZPM и повторите логи.

[Zoe]

я прислала файл на newvirus@kaspersky.com, мне ответили, что ничего вредоносного в нём нет

но вирусы снова появляются в C:\WINDOWS\System32\

 

 

новые логи:

 

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.log

Изменено 14 июля, 2009 пользователем Zoe

[thyrex]

Выполните скрипт в AVZ

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\web\related.htm');
QuarantineFile('C:\Program Files\Agent Vkontakte\AgentVkontakte.exe','');
DelBHO('{3041d03e-fd4b-44e0-b742-2d9b88305f98}');
DelBHO('{201f27d4-3704-41d6-89c1-aa35e39143ed}');
QuarantineFile('C:\Program Files\AskBarDis\bar\bin\askBar.dll','');
DeleteFile('C:\Program Files\AskBarDis\bar\bin\askBar.dll');
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(4);
ExecuteRepair(13);
RebootWindows(true);
end.

Компьютер перезагрузится.

 

Выполнить скрипт в AVZ.

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com. Полученный ответ сообщите здесь.

 

Пофиксить в HiJack

 R3 - URLSearchHook: (no name) -  - (no file)
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

Сделайте новые логи

[Zoe]

Сделала всё, как написано выше. Ответ с newvirus@kaspersky.com: Вредоносный код в файле не обнаружен.

вирусы всё равно появляются.......

 

hijackthis.log

virusinfo_syscheck.zip

virusinfo_syscure.zip

Изменено 15 июля, 2009 пользователем Zoe

[Suren]

Zoe, попробуйте отключить восстановление системы. Перезагрузитесь.

Почистите от вирусов. Если появляться перестанут - восстановление можно включить.

Вдруг получится

 

PS а утилитами не пробовали? Ну курейтом от др.Вэба или KAV7 virus removal tool?

Изменено 15 июля, 2009 пользователем Suren

[Zoe]

пробовала, но находятся вирусные процессы. а программа, вызывающая их - нет.

[ТроПа]

1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

 begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\DETER177\lsass.exe','');
QuarantineFile('C:\WINDOWS\System32\Isass.exe','');
QuarantineFile('%System%\DETER177\smss.exe','');
QuarantineFile('%System%\DETER177\svсhоst.exe','');
QuarantineFile('%System%\ctfmon.exe','');
QuarantineFile('%System%\АHTОMSYS19.exe','');
QuarantineFile('%System%\рsаdоr18.dll','');
DeleteFile('C:\WINDOWS\system32\DETER177\smss.exe');
DeleteFile('C:\WINDOWS\system32\DETER177\svсhоst.exe');
DeleteFile('C:\WINDOWS\system32\DETER177\lsass.exe');
DeleteFile('c:\windows\system32\аhtоmsys19.exe');
DeleteFileMask('C:\WINDOWS\system32\DETER177','*.exe', false);
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(6);
ExecuteRepair(8);
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 

Прислать карантин (файл quarantine.zip из папки AVZ) на адрес В теле письма укажите ссылку на тему.

 

В АВЗ включите AVZPM и повторите логи.

 

Флешки какие-то подключались к компьютеру до начала лечиния и во время?

[Zoe]

Здравствуйте, wise-wistful!

Во время лечения я не подключала ничего, а до.....

вообще-то этот вирус я подцепила где-то год назад, скачав случайно с флэшки, тогда у меня ещё н6е было инета и антивируса, но программист чистил компьютер с помощью Dr.Web и ещё чего-то там, но не смог его полностью его удалить. В итоге каждый раз при входе в учётную запись, комп зависал минуты на три, а потом выдавал сообщение о неудачной попытке найти какой-то файл какой-то там программой(извините не помню, что конкретно), а потом появлялись новые процессы... и при проверке Dr.Webом они удалялись, а потом заново появлялись. Сейчас та же ситуация: он зависает при входе, но сообщений не выдает. раньше меня эт не беспокоило, а сейчас уже бесит!!!

Может я написала тут чего-то бесполезного и туплю по страшному, но я же не Билл Гейтс!!

 

AVZPM у меня уже был включен, но я удалила и снова установила драйвер...

 

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.log

Изменено 15 июля, 2009 пользователем Zoe

[thyrex]

На время выполнения скрипта Аваст отключите

 

Пофиксить в HiJack

 O4 - HKLM\..\Run: [Local Security Authority Service] C:\WINDOWS\System32\Isass.exe

 

Выполните скрипт в AVZ

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Program Files\Agent Vkontakte\AgentVkontakte.exe','');
DeleteFile('C:\Documents and Settings\Зоя\Application Data\Microsoft\Internet Explorer\qipsearchbar.dll');
DeleteFile('C:\WINDOWS\System32\Isass.exe');
DelBHO('{95289393-33EA-4F8D-B952-483415B9C955}');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

 

Выполнить скрипт в AVZ.

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com. Полученный ответ сообщите здесь.

 

Сделайте новые логи

 

И еще вопрос. Вашему компьютеру сколько лет?

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Давно пора было уже SP3 установить