Не удается удалить вирусы до конца

[diary]

Здравствуйте.

Недавно НОД обнаружил вирус в файле brastk.exe (модифицированный Win32/Adware.UltimateDefender.AA). Как я поняла, я случайно прервала его - на рабочем столе остался файл delself.bat и файл, который он должен был удалить - ~.exe. НОД файл brastk удалил, но с тех пор постоянно находятся Tracking cookie и модифицированный Win32/Agent.NVD в файлах папки Temp. Были DoS-атаки. Периодически запрашивает входящее соединение svchost.exe. Outpost не выполняет назначенные задания, правда, его я установила уже после того, как НОД обнаружил вирус.

Проверяла комп с загрузочного CD с Касперским - что-то нашел, удалил, но ситуация не изменилась.

 

Помогите, пожалуйста. А то единственным выходом видится только переустановка системы.

Логи прикладываю. Единственное, что не выполнила - не отключала восстановление системы, так как есть ценные файлы. Если потребуется - отключу.

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis.zip

[ТроПа]

1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\Documents and Settings\Natasha\jsinek.exe','');
QuarantineFile('C:\Temp\logishrd\LVPrcInj01.dll','');
DeleteFile('C:\Documents and Settings\Natasha\jsinek.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 

Прислать карантин (файл quarantine.zip из папки AVZ) на адрес 54712<at>rambler.ru где <at> - это @. В письме укажите ссылку на тему.

 

 

Повторите логи.

Изменено 12 декабря, 2008 пользователем wise-wistful

[diary]

Карантин отправила.

Логи прилагаю.

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis.zip

Изменено 12 декабря, 2008 пользователем diary

[ТроПа]

АВЗ--сервис--поиск файлов поищите jsinek.exe - если найдётся напишите есть он или нет.

[Falcon]

Мммм, а это что такое и за что отвечает:

c:\windows\system32\drivers\wtsrv.exe

c:\WINDOWS\system32\WinTab32.DLL

Изменено 12 декабря, 2008 пользователем Falcon

[diary]

АВЗ--сервис--поиск файлов поищите jsinek.exe - если найдётся напишите есть он или нет.

Не нашел.

 

 

Э.. Это значит, все? Или что-то еще осталось?

 

Похоже, нет. Опять троян нашелся.

Изменено 12 декабря, 2008 пользователем diary

[Falcon]

Логи сюда, посмотрим, что осталось.

[diary]

Логи.

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis.zip

Изменено 12 декабря, 2008 пользователем diary

[ТроПа]

Отключите Восстановление системы.

1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\Documents and Settings\Natasha\jsinek.exe','');
DeleteFile('C:\Documents and Settings\Natasha\jsinek.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

 

Скачайте Malwarebytes' Anti-Malware, установите, обновите базы, выберите "Провести полную проверку (Perform Full Scan)", нажмите "Проверить"(Scan), после сканирования - Ok - Показать результаты(Show Results) - нажмите "Удалить выделенные"(Remove Selected). Откройте лог и скопируйте в сообщение.

 

Проверка компьютера при помощи Malwarebytes' Anti-Malware

 

Повторите логи АВЗ и hijackthis

[diary]

Скачайте Malwarebytes' Anti-Malware, установите, обновите базы, выберите "Провести полную проверку (Perform Full Scan)", нажмите "Проверить"(Scan), после сканирования - Ok - Показать результаты(Show Results) - нажмите "Удалить выделенные"(Remove Selected). Откройте лог и скопируйте в сообщение.

 

Проверка компьютера при помощи Malwarebytes' Anti-Malware

 

Тип проверки: Полная (C:\|D:\|)

Проверено объектов: 154973

Прошло времени: 23 minute(s), 34 second(s)

 

Заражено процессов в памяти: 0

Заражено модулей в памяти: 0

Заражено ключей реестра: 12

Заражено значений реестра: 0

Заражено параметров реестра: 0

Заражено папок: 0

Заражено файлов: 0

 

Заражено процессов в памяти:

(Вредоносные программы не обнаружены)

 

Заражено модулей в памяти:

(Вредоносные программы не обнаружены)

 

Заражено ключей реестра:

HKEY_CLASSES_ROOT\Typelib\{86a44ef9-78fc-4e18-a564-b18f806f7f56} (Trojan.MultiDefender) -> Quarantined and deleted successfully.

HKEY_CLASSES_ROOT\Typelib\{431d251c-b43a-47d7-b4f4-07a101b432d6} (Adware.BHO) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{831cbac0-8283-4653-9d81-feb9f3f6e47c} (Trojan.BHO) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{831cbac3-8283-4653-9d81-feb9f3f6e47c} (Trojan.BHO) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{86a44ef7-78fc-4e18-a564-b18f806f7f56} (Trojan.BHO) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{df780f87-ff2b-4df8-92d0-73db16a1543a} (Adware.PopCap) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{6d7b211a-88ea-490c-bab9-3600d8d7c503} (Adware.BHO) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{92860a02-4d69-48c1-82d7-ef6b2c609502} (Adware.BHO) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{c1de446a-8770-4621-9378-f1922c74a36c} (Adware.BHO) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{6d7b211a-88ea-490c-bab9-3600d8d7c503} (Adware.BHO) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Trymedia Systems (Adware.Trymedia) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\ConnectionServices (Adware.BHO) -> Quarantined and deleted successfully.

 

Заражено значений реестра:

(Вредоносные программы не обнаружены)

 

Заражено параметров реестра:

(Вредоносные программы не обнаружены)

 

Заражено папок:

(Вредоносные программы не обнаружены)

 

Заражено файлов:

(Вредоносные программы не обнаружены)

 

Повторите логи АВЗ и hijackthis

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis.zip

[diary]

Сегодня при проверке Outpost'ом НОД опять троян обнаружил. Плюс еще одна странность появилась - при входе в браузер один сайт просит загрузить куки при том, что на этот сайт я не заходила. (Я уже установила "спрашивать, принимать ли куки")

[Sandynist]

Плюс еще одна странность появилась - при входе в браузер один сайт просит загрузить куки при том, что на этот сайт я не заходила. (Я уже установила "спрашивать, принимать ли куки")

 

Это не странность, а стандартный сервис обозревателя интернета, если не хотите сохранять файлы авторизации на своём компьютере - то нажимаете на "Нет", но имейте ввиду, что пароли придётся вводить при каждом входе на тот или иной сайт или форум заново.

Изменено 13 декабря, 2008 пользователем Sandynist

[diary]

Это не странность, а стандартный сервис обозревателя интернета, если не хотите сохранять файлы авторизации на своём компьютере - то нажимаете на "Нет", но имейте ввиду, что пароли придётся вводить при каждом входе на тот или иной сайт или форум заново.

Такие настройки для куки стоят уже больше недели, а этот сервис проявился только сейчас... Пароли уже давно на всех сайтах ввожу при каждом входе заново. Другие сайты спрашивают, принять ли куки только тогда, когда открываю сам сайт...

Наверное, я уже во всем вижу происки вирусов.

[ТроПа]

Сегодня при проверке Outpost'ом НОД опять троян обнаружил.

простите не совсем понял. Чем вы проверяли и кто обнаружил? Кроме того есть ли полный путь к врагу?

[diary]

простите не совсем понял. Чем вы проверяли и кто обнаружил? Кроме того есть ли полный путь к врагу?

Включила Outpost на полную проверку системы. Во время этой проверки отреагировал НОД. Вот записи из журнала:

 

13.12.2008 16:23:19

Модуль сканирования - Защита файловой системы в режиме реального времени

Объект - файл

Имя - C:\Temp\AMW5640.tmp

Вирус - модифицированный Win32/Agent.NVD троянская программа

Действие - очищен удалением - изолирован

Пользователь - NT AUTHORITY\SYSTEM

Информация - Событие произошло в файле модифицированном приложением: C:\Program Files\Opera\Opera.exe.

 

13.12.2008 16:26:20

Модуль сканирования - Защита файловой системы в режиме реального времени

Объект - файл

Имя - C:\Temp\AMW5974.tmp

Вирус - вероятно модифицированный Win32/PSW.Agent троянская программа

Действие - очищен удалением - изолирован

Пользователь - NT AUTHORITY\SYSTEM

Информация - Событие произошло в файле модифицированном приложением: C:\Program Files\Opera\Opera.exe.

 

Такое было и раньше, но с другим приложением (в пункте Информация) - был сам Outpost или Ad-aware. Иногда файл был другой - C:\Temp\PK***.tmp (***-цифры)

Изменено 13 декабря, 2008 пользователем diary