Здравствуйте! Решил обратиться к вам за помощью, может есть у кого время глянуть. На ноубуке ранее стоял DrWeb, не обновлялся, вирусня его сгрызла, стандартными средствами удалить не получалось, удалил через ремувер. Установил Avast, хотел обновить - не получилось, заметил что пропал интернет. Прогнал утилитой CureIt - не открываются страницы, потом Malware Bytes (нашёл штук 10, удалил) - не открываются, пробовал ещё разные советы, но ничего толкового не выходит. Выход в интернет через 3G Модем МТС.

Добрый вечер,
сейчас посмотрю логи.

Добрый! Вот это оперативность!!! Я хоть и сам IT-специалист, но встал в тупик, вот и решил спросить совета у профи) Ну что там в логах, нашлось что?

Как я понял из логов часть файлов DrWeb осталась, утилита их не удалила, но опять же в диспетчере задач и в Security Task Manager они не отображаются. Сижу репу чешу чо ещё похимичить...

Извините за задержку, пришлось отлучиться.

Зачистим следы Dr. Web

Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт)

begin
StopService('DrWebWfp');
StopService('DrWebLwf');
DeleteFile('C:\WINDOWS\system32\drivers\dw_wfp.sys');
DeleteFile('C:\Program Files\DrWeb\dwservice.exe');
DeleteFile('C:\Program Files\DrWeb\dwnetfilter.exe');
DeleteFile('C:\WINDOWS\system32\drivers\DrWebLwf.sys');
DeleteFile('C:\Program Files\Common Files\Doctor Web\Scanning Engine\dwarkdaemon.exe');
DeleteFile('C:\Program Files\Common Files\Doctor Web\Scanning Engine\dwengine.exe');
DeleteFile('H:\autorun.inf');
DeleteService('DrWebWfp');
DeleteService('DrWebLwf');
DeleteService('DrWebNetFilter');
DeleteService('DrWebAVService');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

ПК перезагрузится.

Нажмите Пуск => Выполнить. В окне наберите команду
Combofix /Uninstall
Нажмите кнопку ОК.

Скачайте OTCleanIt (http://oldtimer.geekstogo.com/OTC.exe), запустите, нажмите Clean up.

Скачайте ComboFix по одной из этих ссылок на рабочий стол.
ComboFix.exe (http://download.bleepingcomputer.com/sUBs/ComboFix.exe)
ComboFix.exe (http://subs.geekstogo.com/ComboFix.exe)
Важно! На время работы программы отключите всё защитное программное обеспечение.
Дважды кликните по значку, чтобы запустить программу. Убедитесь, что все остальные программы закрыты.
Во время работы ComboFix не нажимайте кнопки мыши, это может стать причиной зависания программы.
Когда сканирование завершится, файл C:\ComboFix.txt прикрепите к сообщению.

прим. В случае, если ComboFix не запускается, переименуйте combofix.exe в svchost.exe


Лог MBAM тоже приложите.

щааааа, делаю

скрипт без ошибок, ребутнулся, а вот комбофикса не находит, вроде дак я его ранее удалял уже

комбофикс при работе пишет что нет мол консоли восстановления/устарела, думаю это не критично...

з.ы. авторун.инф с диска H не удалится, это флэшка защищённая от вирусов

прошу прощения, немного не понял, где мне лог МВАМ взять?

отправляю лог комбофикса

нашёл по поиску, надеюсь это тот

пардон, забыл прикрепить

кстати сейчас попробовал, страницы начали открываться! ща антивируску обновлю, надеюсь и дальше всё будет работать, надо потестить. а что такое было, не просвятите???

неужели остатки DrWeb (фаервол) мешали выходу в инет?

Здравствуйте,
файл C:\Documents and Settings\User\Application Data\txpn.exe если будет запакуйте с паролем virus и отправьте мне в ЛС, после этого - удалите.

Если проблем больше нет, то

1.
Нажмите Пуск => Выполнить. В окне наберите команду
Combofix /Uninstall
Нажмите кнопку ОК.

Скачайте OTCleanIt (http://oldtimer.geekstogo.com/OTC.exe), запустите, нажмите Clean up.

2.
Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:
Запустите AVZ.
Выполните обновление баз (Меню Файл - Обновление баз)
Закройте все приложения, и запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины)
В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт № 4 ("Скрипт сбора неопознанных и подозрительных файлов") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
Закачайте полученный архив, как описано на этой странице (http://avz.safezone.cc).

3.
Выполните (http://safezone.cc/forum/showthread.php?t=16715) для предотвращения повторных заражений.

файл
Код:
C:\Documents and Settings\User\Application Data\txpn.exe
если будет запакуйте с паролем virus и отправьте мне в ЛС, после этого - удалите. »
нет такого, остальное сейчас посмотрю

какой то подозрительный трафик параллельно обновлению АВ баз идёт, вечером отпишусь как что получилось

Отключите
Антивирус/Файерволл

Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт)

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\User\Application Data\txpn.exe','');
DeleteFile('C:\Documents and Settings\User\Application Data\txpn.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

ПК перезагрузится. Выполните скрипт в AVZ

begin
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
end.

Архив quarantine.zip из папки с AVZ отправьте через веб-форму (http://www.oszone.net/virusnet).

Бодрый вечер! Ща делаю, процесс идёт, скоро ждите архив и результаты.

Скрипты без ошибок, карантин высылаю

Чисто. Проблемы ещё есть?

да, щас как только подключил, сразу попёр трафик, автообновления все отключены, служба bits и т.п. не критичные для работы тоже. такое ощущение что спам-бот сидит или ещё что-то...

попробую пока прогу поставлю для контроля портов, посмотрю сетевую активность

Посмотрите и напишите, какой процесс (-ы) используют траффик.

Прошу прощения, это уже я параноил. Проверял TCPView. Трафик был антивируса, при подключении он вылезал обновляться. На модеме подключение EDGE, очееень медленно, за вчерашнюю ночь не мог обновиться. Временно подключил к ADSL - сразу попёрло. Сейчас всё тихо, надеюсь ничего не изменится. Сутки ещё понаблюдаю, если не напишу то всё ОК, тему можно закрыть. Самое огромное и человеческое спасибо, очень выручили! Как я понял, дело было в остатках DrWeb...