[levantin]

Повторяю логи

[Pili]

levantin, МВАМ можно обновить отдельно - downloading the update MBAM
Ещё раз, делайте по порядку.

Цитата Pili:

Повторите скрипт из 2-го поста, выполните рекомендации из 4-го поста и сделайте новые логи virusinfo_syscheck.zip (2-ой стандартный скрипт AVZ) и hijackthis »

[levantin]

Вроде бы все сделал

SDFix: Version 1.240
Run by Ђ¤¬Ё*Ёбва*в®а on 09.04.2009 at 10:45

Microsoft Windows XP [‚ҐабЁп 5.1.2600]
Running From: D:\antivir\SDFix\SDFix

Checking Services :

Name :
TDSSserv.sys

Path :
\systemroot\system32\drivers\TDSSmaxt.sys

TDSSserv.sys - Deleted



Restoring Default Security Values
Restoring Default Hosts File

Rebooting

[Pili]

Лог SDFix не полностью выложили.

Цитата Pili:

Повторите скрипт из 2-го поста »

Зря не повторили, сами себе не хотите помочь, теперь лечение будет дольше (и логов больше собирать), и outpost не удалили... Если скрипт не выполнится, придется удалить и заново логи делать.
d:\antivir\SDFix\SDFix\RunThis.bat - непонятно зачем в автозагрузку поставили, если SDFix до конца отработал, его там не должно быть.
Сохраните реестр:
Скачайте ERUNT, установите и запустите, выберите папку для сохранения, в разделе Backup options должны быть отмечены галочками строчки "System registry" , "Current user registry" и "Other open user registries", нажмите "Ok" и подтвердите создание папки.

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
временно выключите антивирус, firewall и другое защитное программное обеспечение

Код:

File::
c:\windows\iedr.exe
c:\windows\system32\cabine.dll
Driver::
AudioSrvRpcLocator
Microsoft Memory Driver
RSVPMSDTC

Registry::
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{bbf20470-e397-11dd-a401-001fc6373e0a}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SDFix"=-

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe



Когда сохранится новый отчет ComboFix, скопируйте (Ctrl+A, Ctrl+C) текст из C:\ComboFix.txt и вставьте (Ctrl+V) в следующее сообщение если текст не уместится в одном сообщении, продолжите его в следующем или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению

Скачайте OTListIt2, сохраните на рабочий стол и запустите, выберите: Scan All Users, Minimal Output, File Age: 30 Days, поставьте галочку LOP Check, Purity Check и в Extra Registry - Use Safe list. Нажмите Run Scan, когда закончится процесс сканирования, откроются два файла OTListIt.Txt и Extras.txt , скопируйте (Ctrl+A, Ctrl+C) текст из этих файлов и вставьте (Ctrl+V) в следующее сообщение, если текст не уместится в одном сообщении, продолжите его в следующем или запакуйте полученные логи C:\OTListIt.Txt и C:\Extras.txt и прикрепите к сообщению.

[levantin]

OTListIt2 - уже 3 часа загружает процессор на 100%, и в строке состояния пишет scanning cdrom autorun settings... Может что-то не так?

[Pili]

levantin, OTListIt2 быстро отрабатывает, outpost удален?

[levantin]

Да, ОР удален, сканирование закончилось, выкладываю логи

[Pili]

levantin, В логах чисто.
Запакуйте пожалуйста папку C:\Qoobox\Quarantine\ с паролем virus и пришлите мне на user15802[at]mail.ru
Вложите в архив также файл C:\SDFix\backups\backups.zip
Затем деинсталлируйте ComboFix: нажмите пуск – выполнить - Combofix /u
Запустите OTListIt и нажмите CleanUp!
Проверьте пуск-выполнить-cmd - если русские буквы некорректно отображаются, примените твик реестра (сохраните как fix.reg и примените)

Код:

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Console\%systemroot%_system32_cmd.exe]
"CodePage"=dword:00000362

Проблемы ещё наблюдаются?

[levantin]

После чистки запустил антивирусник. NOD32 нашел:

C:\Documents and Settings\catchme.zip »ZIP »TDSSoeqh.dll - Win32/Agent.ODG троян
D:\autorun.inf - Win32/Tifaut.C червь
D:\hjqffk.exe »AUTOIT »script.au3 - Win32/Packed.Autoit.Gen приложение

[Pili]

levantin, ни в одном логе нет TDSSoeqh.dll (сервис удален ранее утилитой combofix), D:\autorun.inf и D:\hjqffk.exe
catchme.zip д.б. от combofix (м.б. ещё от gmer). Автозапуск отключали, брандмауэр windows включен?
Если остались проблемы, сделайте ещё раз логи по правилам.