Помощь в лечении систем от нечисти

[w1d]

Saule буду благодарен за помощь.

Logfile of HijackThis v1.99.1

Scan saved at 20:20:09, on 24.08.2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\SOUNDMAN.EXE

C:\Program Files\HHVcdV5Sys\VC5Play.exe

C:\Program Files\FlashGet\FlashGet.exe

C:\PROGRA~1\DrWeb\spidernt.exe

C:\Program Files\DrWeb\spiderml.exe

C:\Program Files\DrWeb\DRWEBSCD.EXE

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Messenger\msmsgs.exe

C:\Program Files\Adobe\Acrobat 6.0\Distillr\ACROTRAY.EXE

C:\Program Files\Virtual CD v5\System\VC5Tray.exe

C:\WINDOWS\system32\svchost.exe

C:\PROGRA~1\DrWeb\SpiderNT.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\HHVcdV5Sys\VC5SecS.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\DOCUME~1\НАСТЯ\LOCALS~1\Temp\Rar$EX00.703\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.mail.ru/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = wmplayer.exe //ICWLaunch

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: flashget urlcatch - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - C:\Program Files\FlashGet\jccatch.dll

O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll

O2 - BHO: FlashGet GetFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - C:\Program Files\FlashGet\getflash.dll

O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [VC5Player] C:\Program Files\HHVcdV5Sys\VC5Play.exe

O4 - HKLM\..\Run: [Flashget] C:\Program Files\FlashGet\FlashGet.exe /min

O4 - HKLM\..\Run: [Trickler] "c:\program files\divx\divx pro codec\gain_trickler_3202.exe"

O4 - HKLM\..\Run: [spIDerNT] C:\PROGRA~1\DrWeb\spidernt.exe /agent

O4 - HKLM\..\Run: [spIDerMail] "C:\Program Files\DrWeb\spiderml.exe"

O4 - HKLM\..\Run: [DrWebScheduler] "C:\Program Files\DrWeb\DRWEBSCD.EXE"

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - Startup: Unistall.exe

O4 - Global Startup: Acrobat Assistant.lnk = C:\Program Files\Adobe\Acrobat 6.0\Distillr\ACROTRAY.EXE

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe

O8 - Extra context menu item: &Закачать все при помощи FlashGet - C:\Program Files\FlashGet\jc_all.htm

O8 - Extra context menu item: &Закачать при помощи FlashGet - C:\Program Files\FlashGet\jc_link.htm

O8 - Extra context menu item: &Перевести - C:\Program Files\Arsenal Company\SOCRAT Internet\HTML\WSocrat.js

O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: + &Download Express: загрузить этот файл - C:\Program Files\Download Express\Add_Url.htm

O9 - Extra button: (no name) - DctMapping - (no file)

O9 - Extra button: СОКРАТ Интернет 3.0 - {17FA5CD6-5737-45c2-B194-74C8A4A7F7E7} - C:\Program Files\Arsenal Company\SOCRAT Internet\SocratInternet.dll

O9 - Extra button: Настройки СОКРАТ Интернет 3.0 - {71F65890-5ED6-11d4-9665-00E02962D81A} - C:\Program Files\Arsenal Company\SOCRAT Internet\SocratInternetT.dll

O9 - Extra button: Справочные материалы - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Program Files\FlashGet\FlashGet.exe

O9 - Extra 'Tools' menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Program Files\FlashGet\FlashGet.exe

O9 - Extra button: Перевести страницу - {DFDC8970-FD66-4385-B8C0-835A4AA1DA00} - C:\Program Files\Arsenal Company\SOCRAT Internet\SocratInternet.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O10 - Unknown file in Winsock LSP: c:\windows\system32\drwebsp.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\drwebsp.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\drwebsp.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\drwebsp.dll

O17 - HKLM\System\CCS\Services\Tcpip\..\{500D1C6F-9D87-40AD-9CAE-03029EED61C8}: NameServer = 212.120.160.139 212.120.160.130

O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe

O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS\system32\imapi.exe

O23 - Service: Microsoft security update service (msupdate) - Unknown owner - c:\windows\system32\mssrv32.exe

O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe

O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: SpIDer Guard for Windows NT (spidernt) - Doctor Web, Ltd. - C:\PROGRA~1\DrWeb\SpiderNT.exe

O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS\system32\smlogsvc.exe

O23 - Service: Virtual CD v5 Security service (VC5SecS) - H+H Software GmbH - C:\Program Files\HHVcdV5Sys\VC5SecS.exe

O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe

[Saule]

Saule буду благодарен за помощь.

1. Открываем HijackThis, нажимаем кнопку "Do a system scan only" и отмечаем галочкой следующее:

O4 - Startup: Unistall.exe

O9 - Extra button: (no name) - DctMapping - (no file)

Затем на кнопку "Fix Checked" (браузер при этом нужно закрыть).

2. Основной вирус, который, судя по логу, живет у вас в системе, это вот это:

O23 - Service: Microsoft security update service (msupdate) - Unknown owner - c:\windows\system32\mssrv32.exe

HijackThis с ним не справится (более того, mssrv32.exe может "прикрываться" руткитом).

Для удаления можно попробовать воспользоваться SDFix:

Скачиваем и запускаем - это самораспаковывающийся архив (если Dr.WEB будет ругаться на приложение Tool.Prockill, то прочтите этот

пост

http://www.softboard.ru/index.php?s=&showtopic=30047&view=findpost&p=358136' rel="external nofollow">

).

В системном каталоге будет создана папка SDFix:

C:\

SDFix

Теперь необходимо перезагрузить компьютер в безопасный режим (

Safe Mode

)

При появлении меню загрузки Windows нужно нажать клавишу F8 - на экране появится меню дополнительных режимов загрузки. Передвигаемся с помощью клавиш вверх/вниз и, остановившись на надписи Safe Mode, нажимаем ENTER.

В безопасном режиме открываем папку

SDFix

и запускаем файл

RunThis.bat

.

Пишем букву

Y

и нажимаем на ENTER.

Начнется удаление компонентов трояна и восстановление системных настроек в реестре.

Когда этот процесс будет закончен, SDFix попросить нажать любую клавишу для того, чтобы перезагрузить ваш компьютер - нажимаем.

После перезагрузки процедура удаления снова ненадолго продолжится.

Ждем, пока появится надпись

Finished

и затем нажимаем на любую клавишу для того, чтобы загрузить иконки на рабочем столе (до этого он будет пустым).

Когда рабочий стол будет загружен, вы увидите лог SDFix (который также будет сохранен в его папке с названием

Report.txt

), где будут описаны все сделанные им действия.

Плюс все удаленные файлы будут автоматически сохранены в папку '

Backups

', которая по умолчанию создается вот здесь:

C:\SDFix\backups\

backups.zip

Удалите её.

Если какие-либо проблемы в системе после этого всё-таки останутся, то сделайте новый лог HijackThis + также не будет лишним присоединить к сообщению и отчет SDFix.

[planet_222]

Срочно нужна помощь!!!!

Пару дней назад монитор Avira обнаружил в папке system32 TR/Agent.24961 в библиотеке ati2kaag.dll. Лечиться данный вирус не захотел, равно как и удаляться или отправляться в карантин. При этом перестали работать IE, QIP, перезагрузка из меню ПУСК. В безопасном режиме инфицированный файл удалось найти и удалить. Повторная проверка выявила TR/Spy.Banker.crg.15 в том же разделе, в соседней библиотеке - все повторил. После этого полное сканирование ничего не выявило, но некоторое неудовлетворение осталось. Внимательно посмотрел материалы форума по поводу удаления вирусов на форуме (отдельное спасибо Saule за подробный и полезный материал), почистил реестр автозагрузки, проверил наличие руткитов (Process Master), дополнительно сканировал AVZ4, NOD32 и Dr.Web-curiet). Nod32 нашел и клялся что вылечил в С:system volume information подозрительный на backdoor/win32 объект. Других находок не было. Повторное сканирование - тоже ничего. Но жаба, почему-то, не отпустила. Поэтому я почти не удивился, когда перестала работать Opera и Firefox, потом возникли проблемы с мышью (с десятого клика что-либо открывается). И каждое включение/выключение сопровождается новыми неприятными дисфункциями системы :D Что делать - не знаю? Прилагаю два лога Hijackthis до начала своих лечебных манипуляций и последний, сделанный сейчас. Заранее спасибо!

hijackthis.log

hijackthis3.log

hijackthis.log

hijackthis3.log

[ser208]

http://support.kaspersky.ru/downloads/utils/klwk.zip

Тебе понадобится эта утилита.

Не предпринимай сам никаких пока действий, дабы не потерять данные.

Дождись Saule.

Изменено 27 августа, 2007 пользователем ser208

[Saule]

Срочно нужна помощь!!!!

Открываем HijackThis, нажимаем кнопку "Do a system scan only" и отмечаем галочкой следующее:

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

F2 - REG:system.ini: UserInit=userinit.exe,C:\WINDOWS\system32\ntos.exe,

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)

O20 - Winlogon Notify: ati2kaag - ati2kaag.dll (file missing)

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\

Затем на кнопку "Fix Checked" (браузер при этом нужно закрыть).

После обратите внимание на то, исчезнут ли при последующем сканировании HijackThis следующие строки (если они не исчезнут, нужно будет действовать немного иначе):

F2 - REG:system.ini: UserInit=userinit.exe,C:\WINDOWS\system32\ntos.exe,

O20 - Winlogon Notify: ati2kaag - ati2kaag.dll (file missing)

Также было бы очень неплохо присоединить лог "Исследования системы" с помощью AVZ, так как HijackThis ничего очень серьезного не показал.

Делается это следующим образом:

В верхнем меню AVZ нажимаем:

Файл > Исследование системы

И присоединяем полученный html-файл к своему сообщению.

[planet_222]

Saule, спасибо, сейчас буду пробовать.

Исследование системы AVZ4 сделал, прилагаю. Перед этим (но уже после написания предыдущего поста) воспользовался SDFix: в результате найдены еще три трояна :D протокол также прилагаю.

avz_sysinfo.htm

Report1.txt

avz_sysinfo.htm

Report1.txt

[planet_222]

Ура! Получилось!

При чем F2 - REG:system.ini: UserInit=userinit.exe,C:\WINDOWS\system32\ntos.exe, убрался уже после применения SDFix.

Однако, несмотря на то, что все процессы пошли быстрее, некоторая задумчивость все таки сохраняется.

Вот, что получилось теперь:

avz_sysinfo1.htm

hijackthis5.txt

avz_sysinfo1.htm

hijackthis5.txt

[TVS]

Saule, помогите пожалуйста.

Обнаружен случайно С:\U.exe (дата вчерашняя) :D

[Brox]

Saule, помогите пожалуйста.

Обнаружен случайно С:\U.exe (дата вчерашняя) :D

Может это: http://www.viruslist.com/ru/viruses/encycl...?virusid=152469

[TVS]

Может это: http://www.viruslist.com/ru/viruses/encycl...?virusid=152469

Оно самое, только непонятен первый пункт:

Удалить оригинальный файл троянца (его расположение на компьютере зависит от способа, которым программа попала на компьютер).

[Loader]

TVS: Найди все исполняемые файлы вчерашней и позавчерашней датой.... Возможно еще такой попадется...

[ser208]

Оно самое, только непонятен первый пункт:

Речь скорее об источнике, т.е. ты какую-то программу скачал или по почте получил прикрепленный файл.

Могут быть файлы с двойным расширением или склееные с помощью джойнеров.

Если не знаешь источник, то антивирусом пройдись по всему винту и флешкам. Тем же Cureit.

Изменено 28 августа, 2007 пользователем ser208

[Saule]

Ура! Получилось!

При чем F2 - REG:system.ini: UserInit=userinit.exe,C:\WINDOWS\system32\ntos.exe, убрался уже после применения SDFix.

Однако, несмотря на то, что все процессы пошли быстрее, некоторая задумчивость все таки сохраняется.

Но логи на данный момент выглядят чистыми =(

И по поводу SDFix - хорошо, так как это именно то, что нужно для удаления ntos.exe.

Оно самое, только непонятен первый пункт:

Удалить оригинальный файл троянца (его расположение на компьютере зависит от способа, которым программа попала на компьютер).

Наряду с тем, что посоветовал Loader, было бы неплохо очистить кеш браузера и удалить временные файлы системы.

[TVS]

Saule, спасибо.

Наряду с тем, что посоветовал Loader, было бы неплохо очистить кеш браузера и удалить временные файлы системы.

Кеш и временные файлы почищены, вчерашние файлы сразу смотрела, обычно их довольно много, в них непросто разобраться. AVZ ничего не нашел, даже U.exe в корзине.

Нашел его DrWeb сканер cureit.exe - в корзине и в файлах восстановления системы.

Saule, не совсем понятно на счет оригинального файла программы.

То есть есть какой-то основной файл трояна, кроме этих двух упомянутых C:\nsl.exe и C:\U.exe?

Кстати, у нас был только один тз них - U.exe.

Получается, что неизвестно ни имя, ни размер этой пакости и пр.пр.

Т.е. искать непонятно что. И при этом он даун-троян.

Или же вот эти сведения именно к этому файлу относятся:

Троянец, который осуществляет скачивание из сети Интернет и установку на компьютере пользователя других вредоносных программ. Является HTML-страницей, содержащей JavaScript-сценарии (HTML-файл). Имеет размер 5461 байт. Написан на Java Script.

По размеру файла тоже искала, ноль.

А рекомендуемая пробная версия каспера первое что обещает - это удалить нашу рабочую версию антивируса. Отказалась от его услуг. Чем еще можно просканировать? Вообще информации в инете мало. Непопулярный вирус словили. :(

[Andrew Kul]

Но логи на данный момент выглядят чистыми =(

Ну простите все, ежели что не так. Первый раз форуме. РАзбирался, разбирался.

Как бы разобраться с логами. Как понял прикрепил результат деятельности hijackа.

hijackthis.log

hijackthis.log

[Ученик Дьявола]

Точно так же, как и один из юзеров на предыдущей странице, подцепил на днях эту нечисть - mssrv32.exe. Касперский исправно его обнаруживал и истошно вопил при этом, но вылечить не мог. В поисках спасения полез в Интернет и через Яндекс попал сюда, где и вычитал способ избавления при помощи SDFix. Все сработало!! :( Большое спасибо, Saule, вы делаете великое дело!

[LexUmka]

Помогите решить проблему!!!

после удаления вируса из под системной учётной записи %SystemRoot% видится как "C:\Documents and Settings\Administrator\WINDOWS\" из под других учётных записей всё впорядке.

Подскажите где прописалась эта дрянь.

avz_sysinfo.htm

hijackthis.log

avz_sysinfo.htm

hijackthis.log

[PhantasM]

после удаления вируса из под системной учётной записи

На лицо активное заражение компьютера .

выполните пункт 3 правил что находятся в шапке темы.

перед тем, как анализировать свою систему с помощью универсальных утилит типа HijackThis, очень желательно сделать полное антивирусное сканирование системы, даже если антивируса у вас давно нет.

Можно воспользоваться бесплатным сканером CureIt от Dr.WEB или пройти он-лайн проверку системы: Kaspersky Online Scanner, Panda ActiveScan;

Изменено 29 августа, 2007 пользователем PhantasM

[LexUmka]

На лицо активное заражение компьютера .

выполните пункт 3 правил что находятся в шапке темы.

Сначала я просканировал компьютер с помощью AVZ, он нашёл пару процессов в папке C:\Documents and Settings\Administrator\WINDOWS\System32 и благополучно их убил.

После чего я провёл полное сканирование системы Антивирусом Касперского 6.0 с обновлёнными базами, всё было чисто.

Через пару дней обнаружил что клиент Radmin-ки не работает, при попытке подключения ругается на Winsock.

Выяснилось что система видит %SystemRoot% как "C:\Documents and Settings\Administrator\WINDOWS\" и соответственно не может там найти файла "%SystemRoot%\System32\mswsock.dll и %SystemRoot%\System32\winrnr.dll". После ручного копирования данных файлов в "C:\Documents and Settings\Administrator\WINDOWS\System32\" всё нормально заработало но как видно из логов все службы также обращаются не туда, хотя работают нормально без сбоев.

В папке "C:\Documents and Settings\Administrator\WINDOWS\System32\" тока два файла winrnr.dll и mswsock.dll

[PhantasM]

нажмите одновременно две клавиши WIN и Pause Break, далее перейдите на вкладку "дополнительно" , нажмите "переменные среды" и исправьте путь системной переменной WINDIR на %SystemRoot% . И на всякий случай проверьте переменную Path на отсутствие тех же путей (C:\Documents and Settings\Administrator\WINDOWS\System32)

Изменено 29 августа, 2007 пользователем PhantasM

[Saule]

Или же вот эти сведения именно к этому файлу относятся:

Троянец, который осуществляет скачивание из сети Интернет и установку на компьютере пользователя других вредоносных программ. Является HTML-страницей, содержащей JavaScript-сценарии (HTML-файл). Имеет размер 5461 байт. Написан на Java Script.

TVS

Да, скорее всего, относится именно к этому. И, скорее всего, вы его уже удалили, очистив кеш своего браузера.

Что касается второго файла - вполне возможно, что трояну не удалось его по каким-то причинам скачать (если, конечно, это был именно тот троян).

Случайно нет догадок, каким именно образом вы его поймали (чтобы обезопасить себя на будущее)?

после удаления вируса из под системной учётной записи %SystemRoot% видится как "C:\Documents and Settings\Administrator\WINDOWS\" из под других учётных записей всё впорядке.

Подскажите где прописалась эта дрянь.

LexUmka

Попасть и изменить переменные окружения вы можете следующим образом:

Кликаем правой кнопкой мыши по

My Computer

(Мой компьютер) > заходим в

Properties

(Свойства) > закладка

Advanced

(Дополнительно) > кнопка

Environment Variables

(Переменные среды) > не созданы ли там новые переменные для администратора?

Скриншот на всякий случай:

Нормально посмотреть логи - к сожалению, пока не было возможности (очень занята), но при беглом просмотре активного заражения не заметила (чуть позже еще посмотрю).

Ну простите все, ежели что не так. Первый раз форуме. РАзбирался, разбирался.

Как бы разобраться с логами. Как понял прикрепил результат деятельности hijackа.

Andrew Kul

К сожалению, точно также - пока не было времени нормально посмотреть лог, но при беглом просмотре показалось, что всё в порядке (чуть позже посмотрю нормально еще раз и в случае чего - отпишу). Беспокоют какие-нибудь конкретные проблемы?

Изменено 29 августа, 2007 пользователем Saule

[TVS]

Да, скорее всего, относится именно к этому. И, скорее всего, вы его уже удалили, очистив кеш своего браузера.

Что касается второго файла - вполне возможно, что трояну не удалось его по каким-то причинам скачать (если, конечно, это был именно тот троян).

Случайно нет догадок, каким именно образом вы его поймали (чтобы обезопасить себя на будущее)?

Saule

Думаю, что попал троян к нам с какого-нибудь непотребного места, скорее всего, поскольку пользователь не один за компьютером, разобраться трудно.

Интересно что эта самая U.exe закачалась в 19-00, а в 19-13 пошла в инет, а Аутпост ее не пустил (в журнале нашла) и записал в запрещенные, возможно поэтому дальнейших событий не последовало. А кеш я чищу очень часто, иногда по несколько раз в день и не только я, наверное, основной файл таким образом удалился.

U.exe пока сидит в карантине, если интересно, могу выслать.

Спасибо за помощь.

[planet_222]

И снова обращаюсь за помощью и советом.

Занялся лечением второго компьютера (предположительно, он заболел после пересылки с первого, явно больного, документа Word через QIP, других контактов не было). Симптомы заражения появились одновременно с первым: при попытке выделить файл нажатием левой кнопки мыши, выделялись сразу несколько, самостоятельно выключился монитор Avira, пропали подписи к папкам в Downloads, невозможно перезагрузиться в безопасном режиме. Adawere удалил 11 файлов, после этого мышь заработала. Дальнейшее поэтапное выполнение рекомендаций , приведенных Saule в разделе "Это важно знать", к сожалению не позволило выявить источник вышеописанных дисфункций. Удалил из автозагрузки все, что можно (и даже, что не можно), полностью вычистил все временные файлы, сканирование Avirs, NOD-32, Dr.Web-curiet, AVG Ani-spywear, Process Master ничего не дало! Ни единой детекции! Фиксировал несколько записей в реестре через HijackThis. Запустить SDFix не получается, по причине невозможности перезагрузиться в безопасном режиме: нажатие F8 приводит к открытию меню, предлогающего перезагрузить систему используя разные источники (флоппи-дисковод, CD-ROM, третий - даже не заню, что это). В добавок к перечисленным проблемам, Avira ни в какую не хочет загружать обновления - при закачкt обновлений выдает ошибку. Сейчас пробую поставить Касперского, хотя даже не пойму, с чем имею дело.

Прилагаю отчеты, созданные после предпринятых лечебно-диагностических манипуляций. Буду благодарен за помощь. Заранее спасибо!

avz_sysinfo.htm

hijackthis3.txt

avz_sysinfo.htm

hijackthis3.txt

[Ученик Дьявола]

Насчет перезагрузки в безопасном режиме: попробуй покопаться в BIOS'е. Сейчас на многих компах по умолчанию стоит режим ускоренной загрузки, при которой пропускается стадия проверок перед запуском системы, соответственно нет такого момента, когда можно было бы нажать F8 для появления меню запуска Windows. Если эту опцию отключить, то, по идее, это меню будет доступно. А если нажимать F8 на ранней стадии загрузки, то действительно должно появляться меню выбора загрузочного диска.

ЗЫ: я не универсальный спец, пишу по собственному опыту, так что могу и ошибаться :cray1:

[PhantasM]

И снова обращаюсь за помощью и советом.........

Запустить SDFix не получается, по причине невозможности перезагрузиться в безопасном режиме

В таком случае рекомендую

BootSafe - Makes rebooting in Safe Mode a Snap

Скачать, распаковать, запустить и выбрать safe mode minimal. В результате в файл boot.ini к строке с запуском данной системы добавится ключ для запуска в безопасном режиме. (что конечно можно сделать и вручную, открыв его в блокноте, или в меню пуск - выполнить вызвать утилиту msconfig - OK выбрать там вкладку boot.ini и выделив строку с системой Windows которую хотите загрузить в безопасный режим установить галочку в параметры загрузки /SAFEBOOT . Далее применить ОК