Алла

Постоянно выскакивает окно с вирусом файл
C:\WINDOWS\System32\seuvbqth.pw модифицированный Win32/Conficker.AE червь
Не помогает ни лечение, ни удаление, он появляется снова...из за него пропадает звук в колонках, приходиться перезагружаться, хотя потом опять вылазит! Сканировала Нод 32 - не распознает(
Сканировала Др.Веб(ом) - тоже не нашло.

Проверила AVZ вот логРежим лечения: включено
Версия Windows: 5.1.2600, Service Pack 2 ; AVZ работает с правами администратора
Восстановление системы: включено
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
SDT найдена (RVA=082880)
Ядро ntoskrnl.exe обнаружено в памяти по адресу 804D7000
SDT = 80559880
KiST = 804E26A8 (284)
Функция NtCreateKey (29) перехвачена (8056E9A9->F76DF0D0), перехватчик C:\WINDOWS\system32\Drivers\sptd.sys
Функция NtEnumerateKey (47) перехвачена (8056F0B0->F76E4E2C), перехватчик C:\WINDOWS\system32\Drivers\sptd.sys
Функция NtEnumerateValueKey (49) перехвачена (8057EBEF->F76E51BA), перехватчик C:\WINDOWS\system32\Drivers\sptd.sys
Функция NtOpenKey (77) перехвачена (80567EFB->F76DF0B0), перехватчик C:\WINDOWS\system32\Drivers\sptd.sys
Функция NtQueryKey (A0) перехвачена (8056EDB9->F76E5292), перехватчик C:\WINDOWS\system32\Drivers\sptd.sys
Функция NtQueryValueKey (B1) перехвачена (8056B303->F76E5112), перехватчик C:\WINDOWS\system32\Drivers\sptd.sys
Функция NtSetValueKey (F7) перехвачена (8057516D->F76E5324), перехватчик C:\WINDOWS\system32\Drivers\sptd.sys
Проверено функций: 284, перехвачено: 7, восстановлено: 0
1.3 Проверка IDT и SYSENTER
Анализ для процессора 1
Проверка IDT и SYSENTER завершена
1.4 Поиск маскировки процессов и драйверов
Проверка не производится, так как не установлен драйвер мониторинга AVZPM
Драйвер успешно загружен
1.5 Проверка обработчиков IRP
\FileSystem\ntfs[IRP_MJ_CREATE] = 82B641E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_EA] = 82B641E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_EA] = 82B641E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_VOLUME_INFORMATION] = 82B641E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_FILE_SYSTEM_CONTROL] = 82B641E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_DEVICE_CONTROL] = 82B641E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_LOCK_CONTROL] = 82B641E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_SECURITY] = 82B641E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_SECURITY] = 82B641E8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_WRITE] = 820222E8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_QUERY_EA] = 820222E8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_SET_EA] = 820222E8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_FILE_SYSTEM_CONTROL] = 820222E8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_PNP] = 820222E8 -> перехватчик не определен
Проверка завершена
2. Проверка памяти
Количество найденных процессов: 30
Количество загруженных модулей: 388
Проверка памяти завершена
3. Сканирование дисков
C:\Documents and Settings\Администратор\Local Settings\Temp\GGG65.tmp >>>>> Trojan-Downloader.Win32.Agent.zje успешно удален
C:\Documents and Settings\Администратор\Local Settings\Temp\~DFD8CA.tmp/{MS-OLE}/\__recip_version1.0_#00000013\__substg1.0_0FF60102 >>>>> Trojan.Kyjak
C:\Documents and Settings\Администратор\Local Settings\Temp\~DFF98C.tmp/{MS-OLE}/\__recip_version1.0_#00000006\__substg1.0_0FF60102 >>>>> Trojan.Kyjak
C:\Documents and Settings\Администратор\Local Settings\Temp\~DFFA77.tmp/{MS-OLE}/\__recip_version1.0_#0000002A\__substg1.0_0FF60102 >>>>> Trojan.Kyjak
C:\Documents and Settings\Администратор\Рабочий стол\Вход для всех\Рабочий стол\Setup.exe >>>>> AdvWare.Win32.Zango.e успешно удален
Прямое чтение C:\WINDOWS\system32\drivers\sptd.sys
Автоматическая чистка следов удаленных в ходе лечения программ
4. Проверка Winsock Layered Service Provider (SPI/LSP)
Настройки LSP проверены. Ошибок не обнаружено
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
Проверка отключена пользователем
7. Эвристичеcкая проверка системы
>>> C:\Program Files\bitaccelerator\bitaccelerator.* ЭПС: подозрение на Файл с подозрительным именем
Ошибка карантина файла, попытка прямого чтения (C:\Program Files\bitaccelerator\bitaccelerator.*)
Карантин с использованием прямого чтения - ошибка
Проверка завершена
8. Поиск потенциальных уязвимостей
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)

И тут этого вируса не обнаружено, зато обнаружено новые, которые не удаляются никак... И что это за перехватчики? Подскажите, что делать?

Iljeben

AVZ с новыми базами вроде уничтожает этот вирус.
http://exfile.ru/26793 скачай архив. Создай папку C:\Kido
Затем распакуй архив что получилось так C:\Kido\kidokiller.exe
Запусти из командной строки такой командой C:\Kido\kidokiller.exe -r -f -y -l report.txt -v

01pump

Видимо тут http://pchelpforum.ru/f26/t6442/#post37758 для китайцев расписано полстраницы пошаговых действий...

SERJIO1388

постоянно в автозагрузке появляются папка XP-55DE3E1D ПУТЬ:C:\WINDOWS\sestem32\XP-55DE3E1D.EXE и ярлык для ее запуска УУУУУУ путь тот же. как этот вирус убить? он на телефоне, когда подключили, съел фотки.

monte-kristo

Мда... Читать похоже разучились(

SERJIO1388

вот, что нашла утилита hijackthis:http://exfile.ru/31662 , помогите просканировать этот лог.

01pump

Запустите снова hijackthis второй кнопкой "Сканирование без логфайла". Откроется таблица. В ней найти следующие строчки и поставить в них птички
Затем нажать FIX checked
Перезагрузиться.
Еще в avz выполните стандартный скрипт №3 (при условии что будет подключен телефон и флешка). Как выполнять написано в инструкции