Здравствуйте! На компьютере было обнаружено около 2-х тысяч угроз. Хотела узнать осталось ли еще что-либо зловредное после лечения системы? Логи прилагаю.

Временно отключите:
Антивирус/Файерволл


• Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\Temp\DAA167C0-E7B01318-29059650-B5F9CD98\dsox5jxa.exe','');
QuarantineFile('C:\WINDOWS\Temp\DAA167C0-E7B01318-29059650-B5F9CD98\emi0e2re.exe','');
DeleteFile('C:\WINDOWS\Temp\DAA167C0-E7B01318-29059650-B5F9CD98\dsox5jxa.exe');
DeleteFile('C:\WINDOWS\Temp\DAA167C0-E7B01318-29059650-B5F9CD98\emi0e2re.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Eventlog\Doctor Web\DrWebARKDaemon','EventMessageFile');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Eventlog\Doctor Web\Dr.Web Engine','EventMessageFile');
RegKeyStrParamWrite('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','AutoCreateQ uarantine', '"' + GetAVZDirectory + 'avz.exe' + '"' + ' Script=' + '"' + GetAVZDirectory + 'Script.txt' + '"');
AddLineToTxtFile(GetAVZDirectory + 'Script.txt', 'begin'+#13#10+' CreateQurantineArchive(GetAVZDirectory' + ' + ' + Chr(39) + 'quarantine.zip' + Chr(39) + ');'+#13#10+' RegKeyParamDel('+Chr(39)+'HKEY_CURRENT_USER'+Chr(39) + ', ' +Chr(39)+'Software\Microsoft\Windows\CurrentVersion\Run'+Chr(39)+ ', '+Chr(39)+'AutoCreateQuarantine'+Chr(39)+');'+#13#10+' ExecuteFile('+Chr(39)+'explorer.exe'+Chr(39) + ', ' + 'GetAVZDirectory, 1, 0, false);'+#13#10+' ExitAVZ;'+#13#10+'end.');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.


В результате выполнения скрипта будет сформирован карантин.Отправьте quarantine.zip при помощи этой (http://www.oszone.net/virusnet/) формы. В теле письма укажите свой ник на форуме и ссылку на тему и её название.

Сделайте повторные логи AVZ + RSIT

Скачайте Malwarebytes' Anti-Malware (http://www.besttechie.net/mbam/mbam-setup.exe) или с зеркала (http://download.bleepingcomputer.com/malwarebytes/mbam-setup.exe), установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. http://data.mbamupdates.com/tools/mbam-rules.exe Загрузить обновление MBAM

Нужно Пофиксить в эти строки в HiJackThis.
Код: »
Я не поняла - нужно что-то пофиксить или нет?

Я не поняла - нужно что-то пофиксить или нет? »
Извините - пока ничего.

iskander-k, я сделала все, что Вы посоветовали. Прилагаю очередные логи. Такое чувство, что вирусы постоянно возвращаются, т.к. я 2 раза сканировала с помощью Malwarebytes и оба раза он находил вирусы, а именно Trojan.Agent.

2-х тысяч угроз »
А что за угрозы и что за утилита их показала ?

• Скрипт AVZ.
Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.

begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
QuarantineFile('C:\Windows\system32\WLControl.dll','');
QuarantineFile('F:\Игры\бесплат игры\data\1\22\26\communistMutantsFS.zip','');
QuarantineFile('C:\WINDOWS\system32\108.tmp','');
QuarantineFile('C:\WINDOWS\system32\XDva394.sys','');
QuarantineFile('C:\WINDOWS\system32\XDva391.sys','');
QuarantineFile('C:\WINDOWS\system32\XDva390.sys','');
QuarantineFile('C:\WINDOWS\system32\XDva389.sys','');
QuarantineFile('C:\WINDOWS\system32\XDva388.sys','');
QuarantineFile('C:\WINDOWS\system32\XDva386.sys','');
DeleteFile('C:\WINDOWS\system32\XDva386.sys');
DeleteFile('C:\WINDOWS\system32\XDva388.sys');
DeleteFile('C:\WINDOWS\system32\XDva389.sys');
DeleteFile('C:\WINDOWS\system32\XDva390.sys');
DeleteFile('C:\WINDOWS\system32\XDva391.sys');
DeleteFile('C:\WINDOWS\system32\XDva394.sys');
DeleteFile('C:\WINDOWS\system32\108.tmp');
DeleteFile('F:\Игры\бесплат игры\data\1\22\26\communistMutantsFS.zip');
DeleteFile('C:\Windows\system32\WLControl.dll');
DeleteService('XDva394');
DeleteService('XDva391');
DeleteService('XDva390');
DeleteService('XDva389');
DeleteService('XDva388');
DeleteService('XDva386');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.


• HiJackThis. Нужно пофиксить эти строки в HiJackThis. Выставив галочки напротив этих пунктов и нажмите кнопку Fix Checked. Как пофиксить в HijackThis (http://virusnet.info/forum/showthread.php?t=9)


O20 - AppInit_DLLs: WLControl.dll

iskander-k, спасибо Вам большое за помощь!
А что за угрозы и что за утилита их показала ? »
Сначала я проверяла с помощью Malwarebytes и он обнаружил около тысячи вирусов, в основном Trojan.Agent. При этом были заражены им многие установочные (exe) файлы. Потом я проверяла ситему Drweb.CureIt и он обнаружил тоже около тысячи вирусов, в основном Win32.HLLP.Neshta. Думаю, что все это связано с ребенком, который играет по сети в Minecraft и постоянно скачивает для игры какие-то дополнительные программы и забывает проверять их перед установкой.

были заражены им многие установочные (exe) файлы »
в основном Win32.HLLP.Neshta »
Это указывает на то что у вас было файловое заражение и его сначала нужно лечить c LiveCD и потом уже всё остальное .



Для примера... на будущее, а можете проверить и сейчас , для контроля.

Скачайте на заведомо рабочем компьютере один из предоставленых загрузочных дисков Dr.Web LiveCD (http://www.freedrweb.com/livecd/), Лаборатории Касперского (http://rescuedisk.kaspersky-labs.com/rescuedisk/updatable/), Live CD Vba32 Rescue (ftp://anti-virus.by/pub/vbarescue.iso), Avira GmbH (http://www.free-av.com/en/tools/12/avira_antivir_rescue_system.html), запишите образ на CD-диск, загрузитесь с него и проверьте компьютер из-под выбраного LiveCD. Если по каким-то причинам(маленькая скорость или лимитный интернет) у вас не будет возможности скачать загрузочные образы, можно скачать CureIT (ftp://ftp.drweb.com/pub/drweb/cureit/cureit.exe) или Kaspersky Virus Removal Tool (http://devbuilds.kaspersky-labs.com/devbuilds/AVPTool/), также на здоровом компьютере и запишите на флешку, после записи, установите флешку в защиту от перезаписи и проверьте компьютер утилитами.

забывает проверять их перед установкой. »
под предлогом лечения закрыть ему доступ к компу на время ввиде наказания.

Если есть желание обучиться лечению компьютеров от вирусов можете пройти онлайн курсы , бесплатные. по ссылке (http://forum.oszone.net/announcement-87-182.html)

теперь ещё раз ..

логи повторите для контроля...

Перед тем как сделать логи еще раз проверила компьютер с помощью Kaspersky Rescue Disc. Были опять обнаружены кое-какие вирусы, в основном из карантина Dr.Web. Еще при сканировании AVZ вышло сообщение: "Файл или каталог C:\Documents and Settings\User\ntuser.tmp поврежден и не может быть прочитан. Запустите служебную программу CHKDSK". Что в данном случае делать?

Запустите служебную программу CHKDSK". Что в данном случае делать? »
Правой кнп мыши щелкнуть на диске С - Свойства - вкладка Сервис - кнопка Выполнить проверку- поставить галки в оба чек-бокса - Применить - и ОК - перезагрузить компьютер - ничего не делая подождать пока пройдет проверка (на синем фоне) - как закончится компьютер сам перезагрузится и запустится в рабочий режим.


если будут проблемы сообщить.