Помогите удалить вирус Trojan-dropper.Win32.agent.albv

[sanalejandro]

Malwarebytes' Anti-Malware 1.35

Версия базы данных: 1931

Windows 5.1.2600 Service Pack 2

 

02.04.2009 11:37:13

mbam-log-2009-04-02 (11-37-13).txt

 

Тип проверки: Полная (C:\|D:\|)

Проверено объектов: 85809

Прошло времени: 28 minute(s), 22 second(s)

 

Заражено процессов в памяти: 0

Заражено модулей в памяти: 0

Заражено ключей реестра: 0

Заражено значений реестра: 0

Заражено параметров реестра: 0

Заражено папок: 0

Заражено файлов: 0

 

Заражено процессов в памяти:

(Вредоносные программы не обнаружены)

 

Заражено модулей в памяти:

(Вредоносные программы не обнаружены)

 

Заражено ключей реестра:

(Вредоносные программы не обнаружены)

 

Заражено значений реестра:

(Вредоносные программы не обнаружены)

 

Заражено параметров реестра:

(Вредоносные программы не обнаружены)

 

Заражено папок:

(Вредоносные программы не обнаружены)

 

Заражено файлов:

(Вредоносные программы не обнаружены)

 

 

вот что он мне пишет. а интернет падает всеравно. и кис 8 постоянно пишет о зараженных файлах C:\WINDOWS\system32\15.scr

[akoK]

Безопасный режим работает?

Скачайте и проверьте в безопасном

Изменено 2 апреля, 2009 пользователем akoK

[sanalejandro]

безопасный работает, скачал, проверил, удалил зараженые файлы, вошел в обычном режиме, кис8 снова находит зараженые файлы в system32

[akoK]

повторите логи:

Очистите временные файлы через Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner

- скачайте ATF Cleaner или с зеркала, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.

- если вы используете Firefox, нажмите Firefox - Select All - Empty Selected

- нажмите No, если вы хотите оставить ваши сохраненные пароли

- если вы используете Opera, нажмите Opera - Select All - Empty Selected

- нажмите No, если вы хотите оставить ваши сохраненные пароли

 

 

Скачайте SDFix, загрузитесь в безопасном режиме, запустите утилиту (запустить RunThis.bat - подтвердить, нажав "Y"), после окончания сканирования скопируйте текст из C:\Report.txt и вставьте в следующее сообщение или запакуйте файл C:\Report.txt и прикрепите к сообщению

Описание SDFix есть здесь

 

 

Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

 

1. Необходимо установить Recovery Console по инструкции - how-to-use-combofix:

• Скачайте установочный файл для своей ОС и сохраните на рабочий стол.
  Windows XP Professional с пакетом обновления 2 (SP2)
  Windows XP Home Edition с пакетом обновления 2 (SP2)
   
  Установочный файл Recovery Console для Windows XP SP3 идентичен Windows XP SP2
   
  Если Вы используете Windows XP с пакетом обновления 1 (SP1) или Исходный выпуск Windows XP, то необходимо обязательно ознакомится со статьей Как получить установочные диски Windows XP и скачать установочный файл Recovery Console, который соответствует виду Вашей системы.
   
   
  
• Закройте все остальные приложения и мышкой перенесите установочный файл на иконку ComboFix, подтвердите лицензионное соглашение и установите Microsoft Recovery Console.
  

 

 

2. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.

3. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.

Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

[sanalejandro]

логи

ComboFix.txt

[akoK]

Ничего по логу не вижу.

 

Деинсталлируйте ComboFix: нажмите пуск – выполнить - Combofix /u

 

Скачайте OTCleanIt, запустите, нажмите Clean up

[sanalejandro]

вроде все нормально, спасибо за помощь. но есть еще одна проблемка. приложение Generic Host Process for Win32 Services каждые 30 секунд пытается что-то загрузить с _http:/ /212.95.32.104/l0.exe кис8 запрещает. как отключить эти запросы? прилагаю отчет каспера

 

Сообщение от модератора Kapral

модифицировал активную ссылку

jnxtn.txt

Изменено 10 апреля, 2009 пользователем Kapral

[ТроПа]

Доя начала, очистите все временные файлы, как системы так и браузера.

[sanalejandro]

а как это сделать?

[MedvedevUnited]

Здравствуйте.

 

Чуть выше уже есть подсказка (здесь).