[Лог?]Trojan-Proxy.Win32.Small.mu

[ProAseptic]

при загрузке выходит сообщение о вирусе :

 

1.Появлятеся сообщение о том, что файл С:\WINDOWS\FILE.BAT содержит троянскую программу Trojan-Proxy.Win32.Small.mu

2. Я выбираю лечение (OK) и происходит лечение активных угроз. После этого комп перезагружается.

и происходит всё сначала

 

3.Удалять не удаляет, пропустить пропускает, но после перезагрузки всё начинается снова.

 

Я остановился на 7.Отключите восстановление системы, когда нажимаю на свойства выбивает: rundll32.exe - Неверный образ.

Приложение или библиотека С:\WINDOWS\system32\IMM32.DLL не является образом программы для Windows NT.Проверьте назначение установочного диска и

Приложение или библиотекаС:\WINDOWS\system32\shell32.dll не является образом программы для Windows NT.Проверьте назначение установочного диска и

Приложение или библиотека С:\WINDOWS\system32\uxtheme.dll не является образом программы для Windows NT.Проверьте назначение установочного диска и

Приложение или библиотека С:\WINDOWS\system32\MSCTF.DLL не является образом программы для Windows NT.Проверьте назначение установочного диска и

Приложение или библиотека С:\WINDOWS\system32\IKEYRFK8.DLL не является образом программы для Windows NT.Проверьте назначение установочного диска .Что делать?

[SLASH_id]

Сделать логи без отключения восстановления системы.

Возможно получится отключить его позднее.

[ProAseptic]

Приклепленные файлы:

 

Сообщение от модератора wise-wistful

Удалил дублирующийся лог. Нужны логи virusinfo_syscure.zip и virusinfo_syscheck, а не дублирование virusinfo_syscure.zip

virusinfo_syscure.zip

hijackthis.rar

Изменено 27 января, 2009 пользователем wise-wistful

[akoK]

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
SetServiceStart('oberzlbnayqidz', 4);
QuarantineFile('C:\WINDOWS\system32\msxml71.dll','');
QuarantineFile('C:\WINDOWS\system32\digeste.dll','');
QuarantineFile('C:\WINDOWS\msauc.exe','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\tcpip.sys','');
QuarantineFile('C:\WINDOWS\system32\UTSCSI.EXE','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\beeper.sys','');
QuarantineFile('C:\WINDOWS\system32\winsystems.dll','');
QuarantineFile('c:\windows\services.exe','');
DeleteFile('c:\windows\services.exe');
DeleteFile('C:\WINDOWS\system32\winsystems.dll');
DeleteFile('C:\WINDOWS\system32\DRIVERS\beeper.sys');
DeleteFile('oberzlbnayqidz.sys');
DeleteFile('C:\WINDOWS\msauc.exe');
DeleteFile('C:\WINDOWS\services.exe');
DeleteFile('C:\WINDOWS\system32\digeste.dll');
DeleteFile('C:\WINDOWS\system32\msxml71.dll');
DelBHO('{92780B25-18CC-41C8-B9BE-3C9C571A8263}');
DelBHO('{1F460357-8A94-4D71-9CA3-AA4ACF32ED8E}');
DelBHO('{500BCA15-57A7-4eaf-8143-8C619470B13D}');
DeleteService('oberzlbnayqidz');
BC_ImportALL;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 

 

Полученный архив отправьте на newvirus<at>kaspersky.com (at=@) с указанием пароля: virus в теле письма

 

Повторите логи включив AVZPM.

 

P>S> А когда базы антивируса в последний раз обновляли?

[ProAseptic]

Вчера

 

Код

begin

CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');

end.

 

Это выполнить в AVZ?

 

базы антивируса обновил только что

[ТроПа]

Да в АВЗ.

[ProAseptic]

Полученный архив отправил на newvirus@kaspersky.com

 

Вот новые логи:

 

 

 

Что мне дальше делать?Подскажите и помогите плз!

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis.rar

Изменено 27 января, 2009 пользователем ProAseptic

[Falcon]

Выполнить в AVZ:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
TerminateProcessByName('C:\DOCUME~1\Admin\LOCALS~1\Temp\141.tmp.exe');
DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\141.tmp.exe');
DeleteFile('C:\WINDOWS\system32\drivers\uwpjvmcartmi.sys');
DeleteService('oberzlbnayqidz');
BC_ImportDeletedList;
BC_DeleteSvc('oberzlbnayqidz');
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.

Повторите логи AVZ.

[ProAseptic]

Вот еще новые логи:

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.rar

[Falcon]

Хорошо, зловред убрался, ждем ответа Вирлаба.

[ProAseptic]

А пофиксить надо будет?

[Falcon]

Посмотрим, что скажет Вирлаб, чтобы разделаться со всеми проблемами сразу. По логам HJT явных зловредов не наблюдается...

Изменено 27 января, 2009 пользователем Falcon

[ProAseptic]

Хорошо жду ответа

[Falcon]

Полученный архив отправил на newvirus@kaspersky.com

Проверьте почту, может файлы уже проверены.

[ProAseptic]

Сообщение пришло,но зайдя по ссылке,на форуме пишет:Такого сообщения не существует

Что дальше?Жду ответа!