Что-то мне тут не нравится

[dytyna]

Большое спасибо Pili, теперь все наконец сдвинулось с мертвой точки. Что я могу сказать по сути вопроса.

Файл tcpip.sys сами патчили? Рекомендую заменить на оригинальный.

Ничего не патчила и не знаю, что с этим пунктом делать. Устанавливала обновления Windows - какие смогла взять; это не могло устранить проблему? Если нет, напишите, что делать.

С помощью cureit и AVPTool систему проверяли?

cureit проверяла периодически. Ничего не видит, говорит - чисто. Возможно, то, что сейчас удалил MBAM, что-то блокировало?

Предложенный скрипт выполнила, карантин отправила, вот только он почему-то был пуст. Или мне это показалось?

не забудьте установить все обновления

Три последовательных обновления, как было указано здесь для SP2, установила; обновление до SP3 не так-то просто стянуть, когда связь обрывается сначала четер 10 минут, потом через 30. Когда установлю, предидущие обновления нужно будет повторить?

Malwarebytes' Anti-Malware

сначала ничего не видел mbam_log_2009_05_15__22_33_53_.txt; после того, как удалось обновить, нашел 8 объектов, лог его прилагаю mbam_log_2009_05_16__06_44_28_.txt. Объекты эти лежат в карантине - нужно ли куда-нибудь высылать?

Далее еще не продвинулась, изучаю инструкцию.

mbam_log_2009_05_15__22_33_53_.txt

mbam_log_2009_05_16__06_44_28_.txt

[dytyna]

Логи после проделаных процедур.

virusinfo_syscheck.zip

virusinfo_syscure.zip

virusinfo_syscheck.zip

virusinfo_syscure.zip

[dytyna]

Проверила tcpip.sys. Их оказалось три, проверила все.

Здесь ничего

Здесь, насколько понимаю, то же самое. Файл из папки E:\WINDOWS\$NtServicePackUninstall$, дата создания 16.05.2009.

Здесь ничего.

После работы консоли файл чистый. http://www.virustotal.com/analisis/f5bfb75...9970eb573ea20a3

Изменено 17 мая, 2009 пользователем dytyna

[dytyna]

Результат сканирования ComboFix ComboFix.txt.

В процессе сильно ругалась на свою версию (ComboFix may be downloaded from any of the abowe (перечислены) sites. If you have downloaded from some other site, there`s a likely chance that it may be tainted. For peace of mind, I suggest that you delete the current copy and get a fresh one)

ComboFix.txt

[Pili]

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.

временно выключите антивирус, firewall и другое защитное программное обеспечение

NetSvc::xwgmscqu

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe

Когда сохранится новый отчет ComboFix, скопируйте (Ctrl+A, Ctrl+C) текст из C:\ComboFix.txt и вставьте (Ctrl+V) в следующее сообщение если текст не уместится в одном сообщении, продолжите его в следующем или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.

Скачайте Malwarebytes' Anti-Malware здесь, здесь, здесь или здесь. Установите, обновите базы, выберите Perform Full Scan (Провести полную проверку), нажмите Scan (Проверить), после сканирования выберите Ок и далее Show Results (Показать результаты), нажмите "Remove Selected" (удалить выделенные, внимание - проверьте то, что удаляете). После удаления откройте лог и скопируйте в сообщение. Логи сканирования можно посмотреть во вкладке Logs (Отчеты), выбрав отчет и нажав кнопку Open (Открыть).

Базы МВАМ можно обновить отдельно - downloading the update MBAM

Сделайте новый лог Hijackthis.

Изменено 18 мая, 2009 пользователем Pili

[dytyna]

Malware ничего не нашел.

log.txt

log.txt

[Alex56]

да странно. опишите пожалуйста еще раз поподробнее вашу проблему

[Pili]

dytyna: Вы не выполнили все рекомендации.

fqggrub.dll - вероятно от kido, поэтому рекомендую почитать http://windowsupdate.microsoft.com)

В рекомендациях есть о том, что нужно поставить все обновления и включить брандмауэр windows, он у вас отключен, в его исключениях уберите общий доступ к файлам и принтерам.

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)

Выполните рекомендации, затем

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.

временно выключите антивирус, firewall и другое защитное программное обеспечение

Driver::xwgmscquNetSvc::xwgmscqu

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe

Когда сохранится новый отчет ComboFix, скопируйте (Ctrl+A, Ctrl+C) текст из C:\ComboFix.txt и вставьте (Ctrl+V) в следующее сообщение если текст не уместится в одном сообщении, продолжите его в следующем или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению

Проверьте на virustotal.com файлы

e:\windows\panose.bine:\windows\system32\botrc.dat

Скачайте DDS DDS.scr, DDS.pif или DDS.com сохраните на рабочий стол, отключите антивирус и запустите DDS, когда сканирование закончится, скопируйте текст из файлов DDS.txt и Attach.txt в сообщение или запакуйте файлы и вложите в сообщение

Скачайте и запустите Online Solutions Autorun Manager (можно использовать версию, не требующую установки), дождитесь пока закончится сканирование и затем нажмите на вторую кнопку в верхнем меню - (кнопка Export). Сохраните отчет, заархвируйте и вложите в сообщение.

Изменено 23 мая, 2009 пользователем Pili

[dytyna]

Вы не выполнили все рекомендации.

В рекомендациях есть о том, что нужно поставить все обновления и включить брандмауэр windows, он у вас отключен, в его исключениях уберите общий доступ к файлам и принтерам.

1) Обязательно установите все 3 патча от MS:

- установила SP3 и три указанных патча.

Так же желательно установить ВСЕ обновления для Вашей версии Windows с сайта: http://windowsupdate.microsoft.com/

зайти на сайт не могу: Mozilla не открывает его принципиально, требует IE. IE мучается долго, в результате чего сообщает, что не может ничего открыть или просто виснет.

Про брендмауер в рекомендациях ничего не увидела. Включила его, хотя оказалось, что следующим действием было его выключить.

KidoKiller от Касперского запускала - nothing to clean.

Проверьте на virustotal.com файлы

e:\windows\panose.bine:\windows\system32\botrc.dat

http://www.virustotal.com/ru/analisis/1d06...c0dd-1243066787

http://www.virustotal.com/ru/analisis/7440...f9d9-1243067296

Ни в одном, ни в другом ничего не нашло.

Изменено 23 мая, 2009 пользователем dytyna

[Pili]

dytyna: По логам не вижу ничего плохого. Брандмауэр вы снова не включили

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]"EnableFirewall"= 0 (0x0)

Деинсталлируйте ComboFix: нажмите пуск – выполнить - Combofix /u

Очистите временные файлы через Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner

- скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.

- если вы используете Firefox, нажмите Firefox - Select All - Empty Selected

- нажмите No, если вы хотите оставить ваши сохраненные пароли

- если вы используете Opera, нажмите Opera - Select All - Empty Selected

- нажмите No, если вы хотите оставить ваши сохраненные пароли

Создайте новую контрольную точку восстановления и очистите предыдущие:

- Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно-Восстановление системы нажмите Очистить

- Нажмите Пуск- Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать

Судя по ошибкам в логе

23.05.2009 11:12:16, error: Service Control Manager [7009]  - Timeout (30000 milliseconds) waiting for the 339AEBABED449ED74E388C5AAE57B1C5 service to connect.23.05.2009 11:07:17, error: sr [1]  - The System Restore filter encountered the unexpected error '0xC0000001' while processing the file '' on the volume 'HarddiskVolume2'.  It has stopped monitoring the volume.23.05.2009 11:05:14, error: Service Control Manager [7009]  - Timeout (30000 milliseconds) waiting for the 4C8BAA4ABE147B9FD26A09B1EB30E16B service to connect.23.05.2009 11:04:28, error: Service Control Manager [7009]  - Timeout (30000 milliseconds) waiting for the B58B9D78ED9E8E15F1BF05ABA95B9E28 service to connect.23.05.2009 11:04:27, error: Service Control Manager [7009]  - Timeout (30000 milliseconds) waiting for the 880CE7E7F1C2DB1BD84A8C34F68F0D98 service to connect.23.05.2009 11:04:26, error: Service Control Manager [7009]  - Timeout (30000 milliseconds) waiting for the 4C8D4066F5062911BFD513DD43C47C07 service to connect.23.05.2009 11:04:25, error: Service Control Manager [7009]  - Timeout (30000 milliseconds) waiting for the 1F0D99D5F94A771795619A6790F8EB76 service to connect.23.05.2009 11:03:00, error: Service Control Manager [7009]  - Timeout (30000 milliseconds) waiting for the C1986DF8230AA13D05B4B326545741F7 service to connect.22.05.2009 20:51:29, error: Service Control Manager [7009]  - Timeout (30000 milliseconds) waiting for the 5F1DF8D270F34A88BB2C16BCB83E9584 service to connect.22.05.2009 20:50:43, error: Service Control Manager [7009]  - Timeout (30000 milliseconds) waiting for the F49C92809B28FF18F3C57B1D2824C4D2 service to connect.22.05.2009 20:50:42, error: Service Control Manager [7009]  - Timeout (30000 milliseconds) waiting for the C71DEC00AF6C5D1ED96102A675593341 service to connect.22.05.2009 20:50:42, error: Service Control Manager [7009]  - Timeout (30000 milliseconds) waiting for the 8B9E457FA3A0AB14B0FC893FC29DB2B0 service to connect.22.05.2009 20:50:41, error: Service Control Manager [7009]  - Timeout (30000 milliseconds) waiting for the 5F1E9EFEB7E4F80AA78710D910C12120 service to connect.22.05.2009 20:49:18, error: Service Control Manager [7009]  - Timeout (30000 milliseconds) waiting for the 69B7C022D92C873449B42A6539B8A9C2 service to connect.17.05.2009 6:49:56, error: SideBySide [59]  - Resolve Partial Assembly failed for Microsoft.VC80.CRT. Reference error message: The referenced assembly is not installed on your system. .17.05.2009 6:49:56, error: SideBySide [59]  - Generate Activation Context failed for E:\Program Files\AVG\AVG8\avgoff2k.dll. Reference error message: The operation completed successfully. .17.05.2009 6:49:56, error: SideBySide [32]  - Dependent Assembly Microsoft.VC80.CRT could not be found and Last Error was The referenced assembly is not installed on your system.17.05.2009 6:49:55, error: SideBySide [59]  - Generate Activation Context failed for E:\Program Files\AVG\AVG8\avgse.dll. Reference error message: The operation completed successfully. .17.05.2009 6:49:52, error: Service Control Manager [7001]  - The AVG Free8 E-mail Scanner service depends on the AVG Free8 WatchDog service which failed to start because of the following error:  This application has failed to start because the application configuration is incorrect. Reinstalling the application may fix this problem.17.05.2009 6:49:52, error: Service Control Manager [7000]  - The IC Recorder Driver service failed to start due to the following error:  The service cannot be started, either because it is disabled or because it has no enabled devices associated with it.17.05.2009 6:49:52, error: Service Control Manager [7000]  - The Cyberlink RichVideo Service(CRVS) service failed to start due to the following error:  The system cannot find the file specified.17.05.2009 6:49:52, error: Service Control Manager [7000]  - The AVG Free8 WatchDog service failed to start due to the following error:  This application has failed to start because the application configuration is incorrect. Reinstalling the application may fix this problem.17.05.2009 6:49:32, error: SideBySide [59]  - Generate Activation Context failed for E:\PROGRA~1\AVG\AVG8\avgwdsvc.exe. Reference error message: The operation completed successfully. .17.05.2009 6:49:28, error: SideBySide [59]  - Generate Activation Context failed for E:\PROGRA~1\AVG\AVG8\avgtray.exe. Reference error message: The operation completed successfully. .17.05.2009 6:49:17, error: SideBySide [59]  - Generate Activation Context failed for E:\WINDOWS\system32\avgrsstx.dll. Reference error message: The operation completed successfully. .17.05.2009 13:18:31, error: Service Control Manager [7023]  - The wuauserv service terminated with the following error:  The specified module could not be found.17.05.2009 13:15:30, error: Service Control Manager [7023]  - The Automatic Updates service terminated with the following error:  The specified module could not be found.16.05.2009 22:59:12, error: SideBySide [59]  - Generate Activation Context failed for E:\Program Files\AVG\AVG8\avgssie.dll. Reference error message: The operation completed successfully. .16.05.2009 10:07:06, error: Service Control Manager [7023]  - The IPSEC Services service terminated with the following error:  The system cannot find the file specified.

У вас проблемы в самой системе и есть ошибки антивируса, попробуйте временно удалить AVG.

[dytyna]

Брандмауэр вы снова не включили

Да выключила, на следующим пунктом в алгоритме стояло: отключите Firewall... :)

Вопрос касательно точки восстановления. "Восстановление системы" выключено - включать до создания контрольной точки?

AVG никак не хотел удаляться, но все-таки удалось.

Все остальное проделаю в ближайшем времени.

Спасибо.

[Pili]

Да выключила, на следующим пунктом в алгоритме стояло: отключите Firewall...

Имелись ввиду сторонние, брандмаур windows не влияет на работу утилит.

"Восстановление системы" выключено - включать до создания контрольной точки?

Включать.

Пожалуйста :)

[dytyna]

Combofix удалился, а консоль осталась, и вот эта папка: 0c3a4b204f33fe7ba3a6862229 (с файлами Windiws). Как это все ликвидировать?

[Pili]

Консоль восстановления удалять не нужно, она от MS, все остальное можете удалить

[dytyna]

Консоль восстановления удалять не нужно, она от MS, все остальное можете удалить

А как мне разобрать, что откуда? На машине теперь запасные Windows, и файлы от них, как я понимаю, лежат на системном диске и занимають драгоценное место... Что из всего этого можно удалять, а что нет?

[Pili]

и вот эта папка: 0c3a4b204f33fe7ba3a6862229

Её можно удалить.