Решена - вирус Win32/Spy.SpyEye.CA модифицированный, winlogon.exe. как избавиться?

Win32/Spy.SpyEye.CA модифицированный .
Нод все время говорит о winlogon.exe(804) и winlogon.exe(804) в операционной памяти. Программы работают не так как надо- не сохраняют нормально.
Помогите!!!

uVS http://zalil.ru/34117821
HijackThis http://zalil.ru/34117827
AVZhttp://zalil.ru/34118149

 

Доброго времени суток!

1. В папке с программой UVS будет файл script.cmd
Запустить файл, запустится окно программы для ввода скрипта,
скопировать скрипт написанный ниже и вставить в окно программы.
ПЕРЕД ВЫПОЛНЕНИЕМ СКРИПТА, ЗАКРЫТЬ ВСЕ БРАУЗЕРЫ!

Код:

;uVS v3.76 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1

zoo %SystemRoot%\TEMP\GP34JET9.EXE
bl 420B3B4B43EFC1A7D16214BCAE814848 102400
delall %SystemRoot%\TEMP\GP34JET9.EXE
delref HTTP://MAILRUSEARCHGO.RU
delref HTTP://SEARCH.QIP.RU
delall %SystemDrive%\DOCUMENTS AND SETTINGS\СЕРГЕЙ\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\UPDATE\GOOGLEUPDATE.EXE
delall %Sys32%\CSRCS.EXE
zoo %SystemDrive%\RECYCLE.BIN\B6232F3AA4F.EXE
bl BB9E4ECAB9C700B848A1333CA1E2F266 140800
delall %SystemDrive%\RECYCLE.BIN\B6232F3AA4F.EXE
exec MSIEXEC.EXE /I{2338890B-4BE4-47FD-AD51-577465FA6ADA}
exec "C:\PROGRAM FILES\MAIL.RU\GUARD\GUARDMAILRU.EXE" /UNINSTALL
exec C:\PROGRAM FILES\SEARCHQU TOOLBAR\UNINSTALL.EXE
exec "C:\PROGRAM FILES\VKMUSIC 4\UNINS000.EXE"
exec C:\PROGRAM FILES\MYBER\UNINSTALL.EXE
exec MSIEXEC.EXE /I{11EA1C75-DB0D-410B-B63B-20916EECD568}
regt 3
regt 12
regt 18
deltmp
delnfr
restart

И жмем кнопку Выполнить.
На запросы программы по удалению жмите ДА
ПК перезагрузится.

В папке с программой UVS будет папка zoo, ее поместить в архив,
установить пароль virus и прислать сюда sendvirus2011@gmail.com

2. Cделайте лог MBAM (подробнее) и
дайте ссылку на файл лога.*выполнять обязательно!
Если лог не открылся, нажмите "Показать Результаты", сохраните отчет и дайте на него ссылку.

Если форум оказался полезен вам и вашему компьютеру, пожалуйста, поддержите его работу -

 

zloyDi, спасибо, та проблема вроде бы устранена ( тьфу-тьфу-тьфу). Zoo отправил.
Компьютер сканируется, и лог выложу позже.

На компьютере есть еще одна проблема:
при заходе на вк вылазят в новых вкладках сайты popstart.ru, testportal.ru и т.п.
Кроме того, на других сайтах вылазит реклама типа системы WebMark 2

 

Выполните пока лог программы MBAM, а потом уберем остальное.

 

http://zalil.ru/34118629
здесь лог программы MBAM

 

Оставить только следующие записи!

Остальное удалить! ПК перезагрузить и сообщить какие проблемы еще остались.

 

Осталась вылазящяя реклама и открывающиеся посторонние сайты

 

Выполните еще раз логи, глянем...

 

uVS http://zalil.ru/34118881
HijackThis http://zalil.ru/34118882
AVZ http://zalil.ru/34118884

 

1. В папке с программой UVS будет файл script.cmd
Запустить файл, запустится окно программы для ввода скрипта,
скопировать скрипт написанный ниже и вставить в окно программы.
ПЕРЕД ВЫПОЛНЕНИЕМ СКРИПТА, ЗАКРЫТЬ ВСЕ БРАУЗЕРЫ!

Код:

;uVS v3.76 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1

setdns Подключение по локальной сети\4\{CA2D84F5-389E-408A-876F-0581B684753F}\
exec MSIEXEC.EXE /I{2338890B-4BE4-47FD-AD51-577465FA6ADA}
exec MSIEXEC.EXE /I{11EA1C75-DB0D-410B-B63B-20916EECD568}
deltmp
delnfr
restart

И жмем кнопку Выполнить.
На запросы программы по удалению жмите ДА
ПК перезагрузится.

Сообщить о результате.

 

Спасибо большое)
Кроме того еще и обновление Nod заработало

 

Если форум оказался полезен вам и вашему компьютеру, пожалуйста, поддержите его работу -

Для закрытия уязвимостей, выполнить скрипт в AVZ:

Код:

begin
 if FileExists(GetAVZDirectory + 'log\avz_log.txt') Then DeleteFile('log\avz_log.txt');
 If DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', GetAVZDirectory +'ScanVuln.txt') Then ExecuteScript('ScanVuln.txt')
 Else ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
 if FileExists(GetAVZDirectory + 'log\avz_log.txt') Then ExecuteFile('notepad.exe', GetAVZDirectory + 'log\avz_log.txt', 1, 0, false)
 else MessageDlg('Часто используемые уязвимости не обнаружены.', mtInformation, mbOk, 0);
ExitAVZ;
end.

После того как скрипт отработает, если будут найдены уязвимости, то в блокноте откроется файл avz_log.txt со ссылками на обновления,
которые нужно загрузить и установить. Если ничего обновлять не надо, AVZ просто закроется.

Сообщите о результате.

 

Поиск критических уязвимостей
Уязвимость службы сервера делает возможным удаленное выполнение кода
http://www.microsoft.com/downloads/...FamilyID=5403c78c-6b87-4788-89c3-0140b887ec6f

Уязвимости в протоколе SMB делают возможным удаленное выполнение кода
http://www.microsoft.com/downloads/...FamilyID=CCB08A8A-F4D9-4320-8FFB-3FD4FE217987

Уязвимости в Microsoft DirectShow делают возможным удаленное выполнение кода
http://www.microsoft.com/downloads/...FamilyID=7ab53be3-3f42-4e61-a2bc-3ed41d8736ff

Накопительное обновление безопасности для браузера Internet Explorer
http://www.microsoft.com/downloads/...FamilyID=d1881d12-2a40-4cb1-9428-31d6633746be



Уязвимость в Центре справки и поддержки Windows
http://www.microsoft.com/downloads/...FamilyID=7C2122BB-0ECF-4467-A3BA-6FB862F603C5

Уязвимость обработки графики в оболочке Windows делает возможным удаленное выполнение кода
http://www.microsoft.com/downloads/...FamilyID=BBEA7EAD-6C5C-4DA8-AA03-A40325FD2DE3

Уязвимость в службе диспетчера очереди печати делает возможным удаленное выполнение кода
http://www.microsoft.com/downloads/...FamilyID=93FABA6B-0A85-4ACC-B527-A012BBF56B13

Обновление функции автозапуска в Windows
http://www.microsoft.com/downloads/...FamilyID=96ca61f6-8b16-4157-9635-8cfc0bbf4c35

Уязвимость драйверов режима ядра Windows, делает возможным удаленное выполнение кода
http://www.microsoft.com/downloads/...FamilyID=8d341077-8fcd-4666-a27e-2141a04a321e

Уязвимости в ядре Windows могут привести к несанкционированному получению прав
http://www.microsoft.com/downloads/...FamilyID=A511D33A-9AE0-46EE-A225-9D97390DE7D1

Уязвимости в Windows Media делают возможным удаленное выполнение кода
http://www.microsoft.com/downloads/...FamilyID=a142f7ba-4268-4453-a8eb-470213c028ac

Несанкционированные цифровые сертификаты делают возможным подмену содержимого
http://www.microsoft.com/ru-ru/download/details.aspx?id=29975 (требуется лицензионный Windows) или
http://download.microsoft.com/downl...-2A4CD98224C4/WindowsXP-KB2718704-x86-RUS.exe

Уязвимость в MSXML делает возможным удаленное выполнение кода
http://www.microsoft.com/downloads/...FamilyID=017f1ed7-eed4-4de3-aca1-93fb25058866

Уязвимость в MSXML делает возможным удаленное выполнение кода
http://www.microsoft.com/downloads/...FamilyID=c34c2511-84d4-4f7e-b61a-086e6ee26ffa

Уязвимость общих элементов управления Windows делает возможным удаленное выполнение кода
http://www.microsoft.com/downloads/...FamilyID=b1c185e9-5328-4bf7-b175-fd9d7fc64097

Уязвимости в Adobe Flash Player для Internet Explorer
http://download.macromedia.com/get/...sing/win/install_flash_player_11_active_x.exe

Уязвимости в Adobe Flash Player для Firefox/Safari/Opera
http://download.macromedia.com/get/...ensing/win/install_flash_player_11_plugin.exe

Установлен Adobe Reader версии 9.1.0. Опасно использовать версии до 9.5
Установите Adobe Reader XI (11.0) или удалите старый.
http://get.adobe.com/reader/otherversions/

Множественные уязвимости в Sun Java JDK и JRE (32-разрядная версия). Деинсталлируйте старую версию и установите новую:
http://www.java.com/ru/download/manual.jsp

Opera 12.02 устарела. Удалите её или установите новую
http://www.opera.com/browser/download

Обнаружено уязвимостей: 20

Все выполнять?

 

Да установить нужно все. В конце обновить базы антивируса и выполнить полный скан ПК.

 

Нод ничего не нашел.
Это выдал Mbam: http://zalil.ru/34120903

 

Если проблемы нет, тогда на этом все.

 

Спасибо огромное