Решена Чищу компьютер. Нужна помощь.

[bob_roman]

Уважаемые специалисты! Разбираюсь с сильно запущенным компьтером. Было много вирусов. Чистил его с помощью CureIt. На текущий момент:
1. не проходит проверка на вирусы сканером drweb (и CureIt) - обе программы аварийно завершаются;
2. не грузится в безопасном режиме - перезагружается заново.
Прилагаю логи.
Пожалуйста, помогите горю.

 

[akok]

Flash - обновите до 10 версии

Acrobat 5.0 - обновите до версии 9.1

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 QuarantineFile('hgGwXomM.dll','');
 QuarantineFile('csrss7.dll','');
 QuarantineFile('C:\WINDOWS\system32\rbbdjmms.dll','');
 QuarantineFile('C:\WINDOWS\system32\twext.exe','');
 QuarantineFile('C:\DOCUME~1\pointer1\LOCALS~1\Temp\Rar$EX00.000\DSDrvNT.sys','');
 DeleteFile('C:\WINDOWS\system32\twext.exe');
 DeleteFile('C:\WINDOWS\system32\rbbdjmms.dll');
 DeleteFile('csrss7.dll');
 DeleteFile('hgGwXomM.dll');
 BC_ImportALL;
 BC_Activate;
 ExecuteSysClean;
 RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Полученный архив отправьте на akok<at>pisem.net с указанной ссылкой на тему. (at=@)

Пофиксить в HijackThis следующие строчки

	O20 - Winlogon Notify: hgGwXomM - hgGwXomM.dll (file missing)
	O20 - Winlogon Notify: Csrss - csrss7.dll (file missing)

Скачайте Malwarebytes' Anti-Malware, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - нажмите "Remove Selected" (удалить выделенные). Откройте лог и скопируйте в сообщение.

Обновите базы AVZ и повторите логи.

 

[bob_roman]

Сделал почти как в инструкции, а именно:
FlashGet (это он имелся в виду?) деинсталлировал;
Acrobat Reader удалил из Program Files (т.к. в "установке и удалении программ" он не встретился;
Когда фиксил в HijackThis строчки со ссылками на hgGwXomM.dll и csrss7.dll, они выглядели не совсем как в инструкции - не было ремарки в скобках насчет отсутствия файла.

Все остальное выполнилось в точности.

Лог Malwarebytes' Anti-Malware:

Malwarebytes' Anti-Malware 1.34
Версия базы данных: 1855
Windows 5.1.2600 Service Pack 2

16.03.2009 22:54:37
mbam-log-2009-03-16 (22-54-37).txt

Тип проверки: Полная (C:\|D:\|E:\|G:\|)
Проверено объектов: 149068
Прошло времени: 21 minute(s), 28 second(s)

Заражено процессов в памяти: 0
Заражено модулей в памяти: 0
Заражено ключей реестра: 9
Заражено значений реестра: 2
Заражено параметров реестра: 4
Заражено папок: 1
Заражено файлов: 11

Заражено процессов в памяти:
(Вредоносные программы не обнаружены)

Заражено модулей в памяти:
(Вредоносные программы не обнаружены)

Заражено ключей реестра:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{6d794cb4-c7cd-4c6f-bfdc-9b77afbdc02c} (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\tdssdata (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\tdss (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\contim (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\instkey (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\rdfa (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\cs41275 (Malware.Trace) -> Quarantined and deleted successfully.

Заражено значений реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{6d794cb4-c7cd-4c6f-bfdc-9b77afbdc02c} (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\UID (Malware.Trace) -> Quarantined and deleted successfully.

Заражено параметров реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue (Hijack.System.Hidden) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Hijack.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Hijack.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Hijack.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Заражено папок:
C:\WINDOWS\system32\twain_32 (Backdoor.Bot) -> Quarantined and deleted successfully.

Заражено файлов:
C:\WINDOWS\system32\rbbdjmms.#ll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\twain_32\user.ds.cla (Backdoor.Bot) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\twain_32\user.ds (Backdoor.Bot) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\twain_32\local.ds (Backdoor.Bot) -> Quarantined and deleted successfully.
C:\Documents and Settings\pointer1\Рабочий стол\A360.lnk (Rogue.Antivirus360) -> Quarantined and deleted successfully.
C:\Documents and Settings\pointer1\Application Data\Microsoft\Internet Explorer\Quick Launch\A360.lnk (Rogue.Antivirus360) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\winconfig.dll (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Program Files\Common Files\System\Uninstall\Uninstall A360.lnk (Rogue.av360) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\TDSSfxwp.dll (Rootkit.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\TDSStkdv.log (Trojan.TDSS) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\TDSSrhym.log (Trojan.TDSS) -> Quarantined and deleted successfully.

 

[Aleksandra]

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 DelBHO('{E0E899AB-F487-11D5-8D29-0050BA6940E3}');
 DeleteFile('C:\DOCUME~1\pointer1\LOCALS~1\Temp\Rar$EX00.000\DSDrvNT.sys');
 BC_ImportDeletedList;
 ExecuteSysClean;
 ExecuteRepair(13);
 BC_Activate;
 SetAVZPMStatus(true);
 RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится!

Повторите лог virusinfo_syscheck.

 

[bob_roman]

Вот он:

 

[Aleksandra]

Очистите временные файлы, кеш браузера и сделайте полную проверку компьютера с помощью AVPTool.

 

[akok]

В карантине:

C:\WINDOWS\system32\twext.exe - Trojan-Spy.Win32.Zbot.gen (dr.web: Trojan.PWS.Panda.31)

Смените пароли.