Подцепил вирус.Процесс назывался ".exe".С помощью AVZ я его удалил,но похоже он успел заразить кучу файлов,к тому-же комп немного подлагивает.Помогите,пожалуйста!Прикрепляю логи)

Добрый вечер! :)
Отключите:
Компьютер от интернета/локальной сети
Антивирус/Файерволл

Предварительно вставьте в привод дистрибутив вашей копии Windows. Это нужно на тот случай если понадобится заменить заражённый системный файл.

• Выполните скрипт AVZ

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный скрипт -> Нажать кнопку "Запустить". (http://www.forum.oszone.net/post-1430637-4.html)

Procedure SysFileRecoverFromDistrib (Path, Name : string);
begin
if MessageDLG('Для замены повреждённого системного файла ' + Name + ', который находится в папке ' + Path + ', вставьте дистрибутив Windows в CD\DVD-привод и нажмите "Да". Если же у вас нет дистрибутива или Вы хотите выполнить замену самостоятельно, нажмите "Нет"', mtConfirmation, mbYes+mbNo, 0) = 6 then
begin
ExecuteFile('sfc /scannow', '', 1, 0, true);
AddToLog('Пользователь выполнил "sfc /scannow"');
SaveLog('Recover_' + Name + '.log');
end
else
begin
AddToLog('Пользователь выбрал самостоятельный способ замены.');
SaveLog('Recover_' + Name + '.log');
end;
end;

Procedure CompleteFix(Path, Name : string);
begin
RenameFile('%windir%\system32\' + Name, '%windir%\system32\' + Name + '.bak');
CopyFile(Path + Name, '%windir%\system32\' + Name);
DeleteFile('%windir%\system32\' + Name + '.bak');
end;

Procedure SysFileRecoverFromBackup(Path, Name : string);
begin
if (FileExists('%windir%\system32\dllcache\' + Name) and FileExists('%windir%\ServicePackFiles\i386\dllcache\' + Name)) and ((CalkFileMD5('%windir%\system32\dllcache\' + Name) <> CalkFileMD5('%windir%\ServicePackFiles\i386\dllcache\' + Name))) then
begin
AddToLog('Замена из ServicePackFiles\i386\dllcache и dllcache не произведена - разные файлы в папках. Запрошен дистрибутив.');
SaveLog('Recover_' + Name + '.log');
SysFileRecoverFromDistrib(Path, Name);
end
else if FileExists('%windir%\system32\dllcache\' + Name) then
begin
if (CalkFileMD5('%windir%\system32\dllcache\' + Name) <> CalkFileMD5(Path + Name)) then
begin
CompleteFix('%windir%\system32\dllcache\', Name);
AddToLog('Замена ' + Name + ' успешно произведена из \system32\dllcache\');
SaveLog('Recover_' + Name + '.log');
end
else if FileExists('%windir%\ServicePackFiles\i386\dllcache\' + Name) then
begin
if (CalkFileMD5('%windir%\ServicePackFiles\i386\dllcache\' + Name) <> CalkFileMD5(Path + Name)) then
begin
CompleteFix('%windir%\ServicePackFiles\i386\dllcache\', Name);
AddToLog('Замена ' + Name + ' успешно произведена из \ServicePackFiles\i386\');
SaveLog('Recover_' + Name + '.log');
end
end
end;
if (not FileExists('%windir%\system32\dllcache\' + Name)) and (not FileExists('%windir%\ServicePackFiles\i386\dllcache\' + Name)) then
begin
AddToLog('Замена из ServicePackFiles\i386\dllcache и dllcache не произведена - нет файлов. Запрошен дистрибутив.');
SaveLog('Recover_' + Name + '.log');
SysFileRecoverFromDistrib(Path, Name);
end;
end;

var SourcePath : String;
begin
SysFileRecoverFromBackup('%windir%\system32\', 'sfcfiles.dll'); // Указываем имя файла.
end.

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('%windir%\system32\drivers\sfc.sys','');
QuarantineFile('frostUpdater.dll','');
QuarantineFile('C:\WINDOWS\TEMP\rldF.tmp','');
QuarantineFile('C:\DOCUME~1\User\LOCALS~1\Temp\reptile.exe','');
QuarantineFile('C:\WINDOWS\system32\wmitxjr.exe','');
QuarantineFile('C:\WINDOWS\system32\wmiptsx.exe','');
QuarantineFile('C:\WINDOWS\TEMP\esp9063.tmp','');
QuarantineFile('c:\windows\system32\79329d4a.exe','');
QuarantineFile('c:\windows\system32\791ed4bf.exe','');
QuarantineFile('c:\windows\system32\14181675.exe','');
QuarantineFile('\\?\globalroot\systemroot\system32\9tnbkxt.exe','');
QuarantineFile('C:\Program Files\Internet Explorer\xpsp2res.dll','');
QuarantineFile('C:\WINDOWS\SystemRoot\System32\Drivers\sptd.sys','');
QuarantineFile('UrlLogger.sys','');
QuarantineFile('C:\DOCUME~1\User\LOCALS~1\Temp\v1s1UO0j.sys','');
DeleteFile('%windir%\\system32\drivers\sfc.sys');
DeleteFile('C:\WINDOWS\TEMP\rldF.tmp');
DeleteFile('C:\DOCUME~1\User\LOCALS~1\Temp\v1s1UO0j.sys');
DeleteFile('C:\Program Files\Internet Explorer\xpsp2res.dll');
DeleteFile('\\?\globalroot\systemroot\system32\9tnbkxt.exe');
DeleteFile('c:\windows\system32\14181675.exe');
DeleteFile('c:\windows\system32\791ed4bf.exe');
DeleteFile('c:\windows\system32\79329d4a.exe');
DeleteFile('C:\DOCUME~1\User\LOCALS~1\Temp\reptile.exe');
DeleteFile('C:\WINDOWS\system32\wmitxjr.exe');
DeleteFile('C:\WINDOWS\system32\wmiptsx.exe');
DeleteFile('C:\WINDOWS\TEMP\esp9063.tmp');
RegKeyParamDel('HKEY_LOCAL_MACHINE','System\CurrentControlSet\Control\Session Manager\AppCertDlls','DefaultVerifier');
RegKeyStrParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'UserInit', GetEnvironmentVariable('SystemRoot')+'\system32\userinit.exe,');
SysFileRecoverFromBackup('%windir%\system32\', 'sfcfiles.dll');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('sfc');
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится!

• После перезагрузки выполните такой скрипт:

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный скрипт -> Нажать кнопку "Запустить". (http://www.forum.oszone.net/post-1430637-4.html)
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин.Отправьте quarantine.zip из папки AVZ через эту (http://www.oszone.net/virusnet/) форму.

После выполнения скрипта в папке AVZ будет создан файл Recover_sfcfiles.log. Прикрепите его пожалуйста к вашему следующему посту!

• Выполните скрипт AVZ

var ListRegSearch : TStringList;
i : Integer;
FileName, RegKeyName : string;
begin
ClearLog;
FileName := 'c:\avz00.log';
RegSearch('HKLM', '', 'esp9063.tmp');
SaveLog(FileName);
ClearLog;
ListRegSearch := TStringList.Create;
ListRegSearch.LoadFromFile(FileName);
AddToLog('Найдено записей: ' + IntToStr(ListRegSearch.Count));
for i := 0 to ListRegSearch.Count - 1 do
begin
RegKeyName := ListRegSearch.Strings[i];
if Pos('\esp', RegKeyName) > 0 then
begin
Delete(RegKeyName, 1, Pos('\\', RegKeyName) + 1);
Delete(RegKeyName, Pos(' Name=', RegKeyName), Length(RegKeyName));
RegKeyDel('HKLM', RegKeyName);
AddToLog('Удален ключ реестра HKLM\' + RegKeyName);
end;
end;
ListRegSearch.Free;
SaveLog('c:\avz01.log');
end.

Затем выполните в AVZ такой (http://safezone.cc/forum/showthread.php?t=9188) скрипт.

Сделайте новые логи AVZ и RSIT. Обязательно обновите базы в AVZ (Файл/Обновление баз)

Скачайте Malwarebytes' Anti-Malware (http://www.besttechie.net/mbam/mbam-setup.exe) или с зеркала (http://download.bleepingcomputer.com/malwarebytes/mbam-setup.exe), установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM. (http://data.mbamupdates.com/tools/mbam-rules.exe)

Не понял, кто из них ваш провайдер, Adtechnology Sia (Latvia) или OJSC Uralsvyazinform?

Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Microsoft остановил поддержку и выпуск обновлений безопасности для ОС Windows XP без установленного SP3.
Установите Service Pack 3 (потребуется активация) (http://www.microsoft.com/downloads/details.aspx?displaylang=ru&FamilyID=5b33b5a8-5e76-401f-be08-1e1555d4f3d4).

Обновите Internet Explorer до восьмой версии (http://www.microsoft.com/rus/windows/internet-explorer/) даже если им не пользуетесь.

Выполнил всё что вы сказали.Кидаю новые логи.

Провайдер мой OJSC Uralsvyazinform
Эксплорер и SP обновлю)

Не крепится((

При установке SP3 при извлечении файла vssvc.exe файл повреждён(Прикладываю логи RSIT

В MBAM удалить все объекты, кроме:

c:\documents and settings\User\мои документы\файлы mail.ru агента\mikelya-kun@mail.ru\pekelnii@mail.ru\adobe.photoshop.cs5.extended.v12.0.keymaker-embrace.exe (Malware.Packer.Gen) -> No action taken.


• Выполните скрипт AVZ

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный скрипт -> Нажать кнопку "Запустить". (http://www.forum.oszone.net/post-1430637-4.html)
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(true);
ClearQuarantine;
QuarantineFile('frostUpdater.dll','');
QuarantineFile('UrlLogger.sys','');
QuarantineFile('C:\WINDOWS\system32\sfcfiles.dll','');
QuarantineFile('C:\WINDOWS\system32\wmitxjr.exe','');
QuarantineFile('C:\WINDOWS\system32\wmiptsx.exe','');
QuarantineFile('C:\WINDOWS\TEMP\rldF.tmp','');
QuarantineFile('C:\DOCUME~1\User\LOCALS~1\Temp\reptile.exe','');
QuarantineFile('c:\windows\system32\79329d4a.exe','');
QuarantineFile('c:\windows\system32\791ed4bf.exe','');
QuarantineFile('c:\windows\system32\14181675.exe','');
QuarantineFile('\\?\globalroot\systemroot\system32\9tnbkxt.exe','');
QuarantineFile('C:\Program Files\Internet Explorer\xpsp2res.dll','');
QuarantineFile('C:\DOCUME~1\User\LOCALS~1\Temp\v1s1UO0j.sys','');
DeleteFile('C:\DOCUME~1\User\LOCALS~1\Temp\v1s1UO0j.sys');
DeleteFile('C:\WINDOWS\system32\wmitxjr.exe');
DeleteFile('C:\WINDOWS\system32\wmiptsx.exe');
DeleteFile('C:\WINDOWS\TEMP\rldF.tmp');
DeleteFile('C:\Program Files\Internet Explorer\xpsp2res.dll');
DeleteFile('\\?\globalroot\systemroot\system32\9tnbkxt.exe');
DeleteFile('c:\windows\system32\14181675.exe');
DeleteFile('c:\windows\system32\791ed4bf.exe');
DeleteFile('c:\windows\system32\79329d4a.exe');
DeleteFile('C:\WINDOWS\system32\drivers\sfc.sys');
RegKeyParamDel('HKEY_LOCAL_MACHINE','System\CurrentControlSet\Control\Session Manager\AppCertDlls','DefaultVerifier');
RegKeyStrParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'UserInit', GetEnvironmentVariable('SystemRoot')+'\system32\userinit.exe,');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('sfc');
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится!

• После перезагрузки выполните такой скрипт:

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный скрипт -> Нажать кнопку "Запустить". (http://www.forum.oszone.net/post-1430637-4.html)
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин.Отправьте quarantine.zip из папки AVZ через эту (http://www.oszone.net/virusnet/) форму.

• Пофиксите в HiJackThis (http://www.forum.oszone.net/post-1430293-2.html)
Отметьте галочками указанные строки и нажмите Fix Checked.
O17 - HKLM\System\CCS\Services\Tcpip\..\{0D0ADF6A-4206-4952-BBB4-69B923C9A32B}: NameServer = 188.92.73.123,188.92.73.124
O17 - HKLM\System\CS10\Services\Tcpip\..\{0D0ADF6A-4206-4952-BBB4-69B923C9A32B}: NameServer = 188.92.73.123,188.92.73.124
O17 - HKLM\System\CS11\Services\Tcpip\..\{0D0ADF6A-4206-4952-BBB4-69B923C9A32B}: NameServer = 188.92.73.123,188.92.73.124
O17 - HKLM\System\CS12\Services\Tcpip\..\{0D0ADF6A-4206-4952-BBB4-69B923C9A32B}: NameServer = 188.92.73.123,188.92.73.124
O17 - HKLM\System\CS13\Services\Tcpip\..\{0D0ADF6A-4206-4952-BBB4-69B923C9A32B}: NameServer = 188.92.73.123,188.92.73.124
O17 - HKLM\System\CS14\Services\Tcpip\..\{0D0ADF6A-4206-4952-BBB4-69B923C9A32B}: NameServer = 188.92.73.123,188.92.73.124
O17 - HKLM\System\CS15\Services\Tcpip\..\{0D0ADF6A-4206-4952-BBB4-69B923C9A32B}: NameServer = 188.92.73.123,188.92.73.124


Сделайте новые логи AVZ & RSIT

Проверьте файл на www.virustotal.com
C:\WINDOWS\system32\sfcfiles.dll
Дайте ссылку на результат проверки.

Мой карантин весит более 8мб,поэтому не грузится
Прикрепляю логи
Ссылка на проверку на sfcfiles.dll.За что вообще отвечает этот файл?
http://www.virustotal.com/file-scan/reanalysis.html?id=0b5663fe42354b6a1c048dc1b63eb00a37bb6386cd3505064d98506048817126-1301753212

Мой карантин весит более 8мб,поэтому не грузится »

Запакуйте его и попробуйте отправить снова.

Сорри забыл прикрепить логи xD
Запакуйте его и попробуйте отправить снова. »
запаковать архив?о_О

Mikelya, AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\docume~1\user\locals~1\temp\eaglent.sys','');
QuarantineFile('C:\WINDOWS\TEMP\rldF.tmp','');
QuarantineFile('C:\DOCUME~1\User\LOCALS~1\Temp\reptile.exe','');
QuarantineFile('C:\WINDOWS\system32\wmitxjr.exe','');
QuarantineFile('C:\WINDOWS\system32\wmiptsx.exe','');
DeleteFile('C:\WINDOWS\TEMP\rldF.tmp');
DeleteFile('C:\DOCUME~1\User\LOCALS~1\Temp\reptile.exe');
DeleteFile('C:\WINDOWS\system32\wmitxjr.exe');
DeleteFile('C:\WINDOWS\system32\wmiptsx.exe');
DeleteFile('c:\docume~1\user\locals~1\temp\eaglent.sys');
DeleteService('eaglent');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.


В результате выполнения скрипта будет сформирован карантин quarantine.zip. Полученный архив отправьте по этой форме (http://www.oszone.net/virusnet)

Сделайте повторные логи!