Последствия вируса?

[Atos]

С давних пор на домашнем компе жила только какая-то левая глючная версия Dr.Web, которая, вроде, и не работала нормально. Пока не было подключения к интернету, всё было ok, после подключения тут же полезли трояны, пришлось ставить KAV 2010 и чистить.

 

Часть изменений в системе легко удалось восстановить. Однако проблемы остались:

 

1. Откуда-то появилась запароленная учётная запись "Support" c иконкой в виде лягушки. Что это такое? Случайно, не Касперский так шутит? Или трояны постарались?

2. При попытке выбрать "Смена пользователя" система зависает

3. При попытке снять галочки с программ автозагрузки в msconfig выдаёт "Отказано в доступе при попытке изменения службы. Для выполнения данного действия необходимо войти в систему с учётной записью администратора", хотя и так под администратором.

4. Подскажите, как всё-таки полностью избавиться от останков Dr.Web и вычистить от него систему? uninstall и пункт в "Изменение и удалении программ" отсутствует, выгрузить его не получается, даже после удаления папки с программой из-под другой ОС он каким-то образом самовосстанавливается

5. Проблемы с интернетом (возможно, каким-то образом тоже связано с Dr.Web?) Часть сайтов всегда нормально грузится, другая часть - рандомно по велению фазы луны, ещё часть адресов в принципе недоступна, пинг не проходит, хотя под прокси-анонимайзером я могу на них зайти. (Вот и сейчас на форуме вынужден выбирать время писать с работы, дома не заходит).

 

 

З.Ы. Кстати, почему-то отчёт утилиты GMER сделать не могу, она начинает работать и вылетает.

Combofix начала работать, дважды требовала перезагрузки, в конце концов её отчёта я так и не нашёл

 

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis.log

[Welder1987]

Atos

удалите drweb с помощью утилиты. KAV 2010 переустановите

[lifestory]

Обновите пожалуйста базы AVZ сделайте логи повторно.

[Atos]

Dr.Web, наконец, полностью удалил, Касперский переустановил. Однако проблема с недоступностью некоторых адресов (например, того же kaspersky.ru) осталась... Кстати, AVZ тоже не может базы обновить

[thyrex]

Скачайте полиморфный AVZ (ссылка в моей подписи) и сделайте логи с его помощью

[Atos]

virusinfo_syscure.zipvirusinfo_syscheck.ziphijackthis.log

[snifer67]

Выполните скрипт в avz

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\TEMP\~TM48A.tmp','');
QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
QuarantineFile('C:\Documents and Settings\All Users\Application Data\Macromedia\SwUpdate\swupdate.dll','');
DeleteService('Tcpsnacorattati');
DeleteFile('Tcpsnacorattati.sys');
DeleteFile('C:\Documents and Settings\All Users\Application Data\Macromedia\SwUpdate\swupdate.dll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad','SwUpdate');
DeleteFile('C:\WINDOWS\system32\sdra64.exe');
DeleteFile('C:\WINDOWS\TEMP\~TM48A.tmp');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','sysgif32');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('fszefueqep');
BC_DeleteSvc('EuGdiDrv');
BC_DeleteSvc('tcrhzpufhafrv');
BC_Activate;
ExecuteRepair(20);
RebootWindows(true);
end.

ПК перезагрузится.

 

Выполнить скрипт в AVZ.

var
 qfolder: string;
 qname: string;
begin
 qname := GetAVZDirectory + '..\Quarantine\quarantine.zip';
 qfolder := ExtractFilePath(qname);
 if (not DirectoryExists(qfolder)) then CreateDirectory(qfolder);
 CreateQurantineArchive(qname);
 ExecuteFile('explorer.exe', qfolder, 1, 0, false);
end.

Вы увидите папку с архивом. Это - карантин.

Карантин отправьте через форму http://support.kaspersky.ru/virlab/helpdesk.html . В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus"(без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Полученный ответ сообщите здесь.

Сделайте новые логи.

[Илья Константинович]

Дополнение:

Если вы не можете зайти на некоторые сайты, нужно хостс почистить. Все, не буду мешать!

 

Строгое предупреждение от модератора thyrex

Устное предупреждение за флуд