Проблема с вирусом Heur:Worm.Win32.Generic [LOG+]

[bus070]

У меня Win prof sp3.Долгое время был в сети без kaspersky,в результате с 27 октября подцепил Heur.Не запускаются paint,outlook и др. пишет что данная программа не может быть запущена.Она инфицирована.Пожалуйста активируйте вашу антивирус программу.При запуске windows media playar пишет fatal error.windoms cant play the folowing media formats:Avi,Update your video and sound codec to resolve this issue.потом запускается exploer и пытается выйти на сайт vscodec-pro-net.Пропал звук.При запуске Aimp2 звук нет,когда захожу в регулятор громкости, ползунок звук на нуле-начинаю двигать на max звук появляется на секунду, и то когда я жму на ползунок.При повторном заходе в регулятор-звук опять на 0.В трее появился не понятный значок красный круг с крестом,постояно мне напоминает об опастности.Что комп заражен,кликните на его и загрузите .... и.тд.И постоянно диалоговые окно выскакивают MS-dos.В общем я снял изображения с экрана и выложил вместе логами.Там так же в файле kasper.doc есть вирусы которые нашел kis2010.кстати страницы сайтов не грузятся не может найти сервер, пробывал exploer ,opera,firefox .

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.log

экран_монитора.doc

kasper.doc

[snifer67]

Выполните скрипт в avz

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('D:\WINDOWS\system32\winupdate.exe','');
QuarantineFile('D:\RECYCLER\S-1-5-21-5448184653-2531420109-467317729-8838\wmiprvse.exe','');
DeleteFile('D:\RECYCLER\S-1-5-21-5448184653-2531420109-467317729-8838\wmiprvse.exe');
DeleteFile('D:\WINDOWS\system32\winupdate.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','winupdate.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE',' Software\Microsoft\Windows NT\CurrentVersion\Winlogon',' Taskman');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteRepair(11);
BC_Activate;
RebootWindows(true);
end.

ПК перезагрузится.

 

Выполнить скрипт в AVZ.

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com. Полученный ответ сообщите здесь.

 

Сделайте новые логи

Изменено 29 октября, 2009 пользователем snifer67

[bus070]

сделал сначала как посоветовал user-ничего не изменилось.только вместо фонового рисунка раб.стола синий экран и когда захожу в своства экрана-раб.стол.-выбор фон.рисунка,ничего не нажимается.Потом сделал как посоветовал snifer67 -почти все проблемы исчезли(спасибо).Но инет так и не грузится,kasper не обновляется, так же как и avz.Проблема с раб. столом осталась.Сделал новые логи.Пришел ответ на отпрвленый вирус:

Здравствуйте,

dmboot.sys, HSXHWAZL.sys

Вредоносный код в файлах не обнаружен.

winupdate.exe - Trojan.Win32.Agent2.ckkb

Детектирование файла будет добавлено в следующее обновление.

>From: bus070@mail.ru

>Sent: Oct 29 2009 10:55AM

>To: "New Virus" <newvirus@kaspersky.com>

>Subject: вирус

>

>

>

 

С уважением, антивирусная лаборатори

 

прочитал про некорректный скрипт.но я уже его выполнил,что делать?из-за него наверное проблема с раб.столом.

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.log

Изменено 29 октября, 2009 пользователем bus070

[snifer67]

avz-файл-просмотр карантина(восстановите файлы dmboot.sys, HSXHWAZL.sys)

 

Выполните скрипт в avz

begin
ClearQuarantine;
ExecuteRepair(5);
ExecuteRepair(19);
RebootWindows(true);
end.

ПК перезагрузится.

 

В логах чисто.Проблема осталась ?

[bus070]

Сделал как сказали.Зашел просмотр карантин-выделил два файла - нажал восстановит-подтверждение выскачило-нажал да-и чето никаких телодвижениий- файлы так и остались в карантине-что должно произойти?Потом выполнил скрипт.Изменений никаких.Нажал на брузер мазилу-выскачило

jqsnotify.exe- неверный образ.

Приложение или бибилиотека D:/windows/system32/winhelper.dll не является образом программы windows nt.проверьте назначение установочного диска.

 

Потом при повторном нажатие ничего не выскакивало

[ТроПа]

Поскольку были какие-то восстановления из карантина, то сделайте, пожалуйста, новый комплект логов.

[bus070]

Отправляю логи.Проблемы теже

hijackthis.log

virusinfo_syscure.zip

virusinfo_syscheck.zip

[snifer67]

Пофиксить в HijackThis

O10 - Unknown file in Winsock LSP: d:\windows\system32\winhelper.dll
O10 - Unknown file in Winsock LSP: d:\windows\system32\winhelper.dll
O2 - BHO: FieryAds advertising module v1.5.0 - {CF272101-7F6E-4CF2-9453-B4C5D2FC32C0} - (no file)

ПК перезагрузите.

 

Сделаете лог hijackthis

[bus070]

сделал.когда фиксил появилось сообщение на экране-выложил вместе с логом

hijackthis.log

Экран.doc

Изменено 29 октября, 2009 пользователем bus070

[snifer67]

doc формат для документов.

 

Пофиксите строчки

O10 - Unknown file in Winsock LSP: d:\windows\system32\winhelper.dll
O10 - Unknown file in Winsock LSP: d:\windows\system32\winhelper.dll

 

Сделаете новый лог hijackthis

[bus070]

То же самое сообщение вылазиет.В worde отправляю потомучто в bmp. слишком большой размер получатся.

hijackthis.log

[snifer67]

Выполните скрипт в avz

begin
DeleteFile('d:\windows\system32\winhelper.dll');
ExecuteSysClean;
RebootWindows(true);
end.

ПК перезагрузится.

 

После скрипта попробуйте пофиксить

O10 - Unknown file in Winsock LSP: d:\windows\system32\winhelper.dll
O10 - Unknown file in Winsock LSP: d:\windows\system32\winhelper.dll

[bus070]

Сделал скрипт.После зашел фиксить указанные файлы не нашёл.отправляю картинку

 

 

инет не пашет.

hijackthis.log

Экран2.doc

Изменено 29 октября, 2009 пользователем bus070

[snifer67]

Пофиксить в HijackThis

O10 - Broken Internet access because of LSP provider 'd:\windows\system32\winhelper.dll' missing

ПК перезагрузите.

[bus070]

все тоже самое.пытаюсь профиксить- выскакивает тоже окно которое я фотографировал.

hijackthis.log