Помогите пожалуйста!

[Hidalgo]

Всем привет!

Пожалуйста, помогите мне:

в windows/system32 периодически появляются windowsupdate.exe, fixweb.exe которые Каспер распознает как вирусы, удаляет их, но они снова появляются там(даже при выключенном инете)!!!! (К тому же они постоянно сидят в автозагрузке, их отключение не сильно помогает)

Полная проверка компа, переустановка винды не помогли!

Что делать?

[Hidalgo]

Ещё не сказал, что комп переодически зависает(периоды очень частые) и иногда сам перезагружается...

Как только файлы обьявятся вновь, прилеплю скрины

Фаил, который Каспер видит, но удалить не может.

"По месту жительства" файла нету...

[ser208]

Сделай логи, как в этом сообщении Pili

[Hidalgo]

Вот логи...

Cureit находил заражённый файл в автозагрузке, удалил его.

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.zip

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.zip

[akoK]

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

beginSearchRootkit(true, true);SetAVZGuardStatus(true);ClearQuarantine;RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);SetServiceStart('grande48', 4);StopService('grande48');SetServiceStart('msupdate', 4);StopService('msupdate');QuarantineFile('C:\WINDOWS\system32\mswapi.dll','');QuarantineFile('c:\windows\system32\mswapi.dll','');QuarantineFile('msnmanegers.exe','');QuarantineFile('mswshl.dll','');QuarantineFile('C:\WINDOWS\System32\Oxigen.SCR','');QuarantineFile('C:\WINDOWS\system32\drivers\grande48.sys','');QuarantineFile('WLCtrl32.dll','');QuarantineFile('C:\WINDOWS\System32\rpcc.dll','');QuarantineFile('C:\WINDOWS\System32\ntos.exe','');QuarantineFile('C:\WINDOWS\System32\mmdmm.exe','');QuarantineFile('C:\WINDOWS\system32\srvany.exe','');QuarantineFile('c:\windows\system32\..\svchost.exe','');QuarantineFile('C:\WINDOWS\System32\klogon.dll','');DeleteFile('c:\windows\system32\..\svchost.exe');DeleteFile('C:\WINDOWS\System32\mmdmm.exe');DeleteFile('C:\WINDOWS\System32\ntos.exe');DeleteFile('C:\WINDOWS\System32\rpcc.dll');DeleteFile('WLCtrl32.dll');DeleteFile('C:\WINDOWS\system32\drivers\grande48.sys');DeleteFile('mswshl.dll');DeleteFile('msnmanegers.exe');DeleteFile('c:\windows\system32\mswapi.dll');DeleteFile('C:\WINDOWS\system32\mswapi.dll');DeleteService('grande48');DeleteService('msupdate');BC_ImportALL;ExecuteRepair(6);ExecuteRepair(8);BC_Activate;ExecuteSysClean;RebootWindows(true);end.

После выполнения скрипта компьютер перезагрузится.

beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end.

Полученный архив отправьте на 6501<at>rambler.ru с указанной ссылкой на тему.

Пофиксить в HijackThis следующие строчки

 O20 - Winlogon Notify: WLCtrl32 - WLCtrl32.dll (file missing)O20 - Winlogon Notify: rpcc - C:\WINDOWS\System32\rpcc.dll (file missing)	O20 - Winlogon Notify: reset6 - mswshl.dll (file missing)O2 - BHO: (no name) - {e3a729da-eabc-df50-1842-dfd682644311} - C:\WINDOWS\System32\mswapi.dllF2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,C:\WINDOWS\System32\ntos.exe,

Удивлен, что у Вас так мало зловредов прицепилось

Platform: Windows XP SP1 (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Это несерьезно! Установите SP2+IE7+все хотфиксы

Повторите логи.

[Hidalgo]

6501<at>rambler.ru

а что эт за адрес?

[Hidalgo]

akoK

Спасибо, но помогло не особо, тут же нашёл этот fixweb.exe((((

[akoK]

<at>-@ (маскировка от спам-ботов)

А вы думали все одной ходкой решить? У Вас неплохой руткин на борту....и ворпос удалось ли снести с одного подхода не стоит.

Повторите логи будем чистить, что выжило.

Да еще одно, антивирус на момент выполнения скриптов, должен быть отключен...иначе он выступает защитой зловреда.